IT Architect (AI, Big Data, Cloud, Apps, Enterprise, Security), Agile Coach/Project Management/Product Owner, CyberSecurity

freiberufler IT Architect (AI, Big Data, Cloud, Apps, Enterprise, Security), Agile Coach/Project Management/Product Owner, CyberSecurity auf freelance.de
Verfügbarkeit einsehen
Weltweit
de  |  en  |  fr
auf Anfrage
76437 Rastatt
12.07.2019

Kurzvorstellung

Meine 7 Tätigkeits-Schwerpunkte:
1.) AI/Hadoop/Data Science
2.) Architektur (Java/JEE, C++, C#, Netzwerk)
3.) IT-Security (teilw. Programmierung)
4.) Projektleitung
5.) eCommerce
6.) Mobile Apps: Architekt und Projekt-Manager
7.) HTML5/JavaScript

Ich biete

IT, Entwicklung
  • Big Data
  • KNIME
  • Teradata
  • Apache Hadoop
  • Datawarehouse / DWH
  • R (Programmiersprache)
  • Oracle Business Intelligence (BI)
  • Machinelles Lernen
  • Predictive analytics
Sprachen, Dienstleistung, Soziales
  • Schulung / Coaching (allg.)

Projekt‐ & Berufserfahrung

Architekt und Technical Lead Meta Data Management (MDM) & Ingest
DXC für Daimler + BMW: Autonomous Driving Programm, Homeoffice
11/2018 – offen (9 Monate)
Automobilindustrie
Tätigkeitszeitraum

11/2018 – offen

Tätigkeitsbeschreibung

Tätigkeit: 1. Security-Konzept für Docker/Kubernetes/K8s: kubectl, Docker Authentication on Kubernetes pods, AuthN/AuthZ Methods wie UMA 2.0 (Federated Authorization for User-Managed Access), OpenID Connect mit keycloak über Translations, Kubernetes RBAC & User Impersonation, Volume Type Whitelisting, SELinux/seccomp/AppArmor, System Call Filter, Kubernetes Helm Sicherheitslimits & Verbesserungen, DEX vs Keycloak, SSSD PAM module (POSIX) für MapR Filesystem/HDFS, MapR Container Location Database (CLDB), etc.
2. Konzeption der Microservices/APIs, u.A. für die Metadatenverwaltung, Machine Learning Parameter, ...
3. Optimierung der Real-time Data Ingestion Verfahren für hochauflösende Self-Driving Car Video- und Sensor-Daten (TB-PB Datenmengen) in einen MapR Hadoop Datalake mit MapR-DB und Ceph Storage (Reliable Autonomic Distributed Object Store (RADOS)), etcd (distributed key value store) mit LoadBalancer (LB), Real-Time Monitoring mit Prometheus und Elastic/ELK.
4. Konzeption der Einführung von Docker/Kubernetes für TensorFlow-MachineLearning: Vergleich mit der Alternative containerd mit GRPC, Docker Registries mit YAML für Kubernetes, Flannel (layer 3 network config). Kubernetes Tools: kubelet (primary node agent), kube-proxy, Container Runtime, (High Availability) HA endpoints, kubernetes-ha, Kube-apiserver, kubeadm, cluster autoscaler, scheduler, Helm (Kubernetes Package Manager, Microservices), Tiller (Helm server part), Ingress (load balancing, SSL termination, virtual hosting), kube-keepalived-vip (Kubernetes Virtual IP addresses using keepalived). Analyse von Kubernetes Failure Stories auf Risiken und Ableitung von Best Practices/Empfehlungen.
5. Scheduling-Konzepte mit Airflow, LocalExecutor, Celery (Distributed Task Queue), CeleryExecutor, RabbitMQ, Dynamic Workflows mit DAGs/SubDAGs mit PythonOperator/BashOperator, upstream/downstream/X-COM, Backfill, Catchup, Kubeflow, Seldon Core.
6. Parallelisierung/Optimierung/Skalieren/Wiederaufsetzen/Fortführen von Deep Learning und speziell TensorFlow-Pipelines und supervised Optimierungszyklen, u.A. mit Spark: Horovod (Training + HorovodEstimator für TensorFlow, Keras, and PyTorch), TensorFlowOnSpark, TensorBoards, TensorFrames.
7. Auf maximale Performance und Durchsatz optimierte Apache Spark basierende Scheduling-Konzepte mit Alluxio-Caching, Data-Locality-Optimierung und Minimierung datenintensiver Operationen: Custom Spark Scheduler/Spark Task/DAG/SubDAG Combiner für Dynamic Workflows (In-Memory-Optimierungen), Deep Learning Pipelines, Horovod, TensorFlowOnSpark, TensorBoards, TensorFrames, Data Lineage Optimierungen.
8. Review aller Security-Aspekte: Airflow, Kubernetes, Docker, Zeppelin, Spark, Java-Sicherheit mit Apache Shiro/Spring Security, sichere Speicherung von Anmeldeinformationen im Unix-Dateisystem, Github, Soft/Hard PSE (Personal Security Environment) mit z.B. SSO (Single Sign On with CA SiteMinder, PAI, OpenId Connect), CyberArk PW Vault API, SSO oder GPG + Ansible Vault, etc.
9. Hilfe/Review bei Angular-basierten Visualisierungen, insbesondere für Grafana (zunächst in Angular, dann in React weil Grafana von Angular auf React migriert wurde).
10. Recherche/Analyse/Erweiterung aktueller Ideen/Tools zu technischen Knackpunkten im Projekt und Vorschlag der Lösungen samt passenden Autonomous-Driving-Use-Cases an die relevanten Ansprechpartner in den Teilprojekten:
a. NLP (Natural Language Processing) / Computerlinguistik Forschung & Auswertung: Analysieren/Parsen natürlicher Szenenbilder zusammen mit dem textuellen Parsen von Bildunterschriften/Beschreibungen aus dem Internet zum Trainieren von Bildverarbeitungsmodellen (Stanford CoreNLP-Ansatz); Klassifizieren von Trouble Tickets / Texten in Kategorien/Aktualitäten; Wartung / Gelernte Lektionen: Analyse textueller Berichte von Technikern über IT-/Fahrprobleme und autonome Fahrtenschwierigkeiten (falsche Klassifizierungen/Reaktionen) für Erkenntnisse/Feedbacks auf NLP-Ebene; Generieren von a) Beschreibungen für Fahrer, welche Art von Trainings-Situationen im Straßenverkehr anzustreben sind, b) Um welche Art von Fehlerursachen es sich bei gegebenen Symptomen handeln könnte als Liste oder Text.
Tools/Algorithmen: OpenAI GPT-2 (Generative Pre-trained Transformer), Facebook XLM (Cross-lingual Language Model Pretraining), Facebook PyText (NLP Modeling Framework, auf PyTorch), Google BERT (Bidirectional Encoder Representations from Transformers), Kombinierte Multi-Task-Modell-NLP, Vortraining kompletter (Sprach-/Tiefenlernen) Modelle mit hierarchischen Darstellungen, Aufmerksamkeitsmodelle, DLNLP (Deep Learning NLP: Embed, Encode, Attend, Predict), Hierarchical Multi-Task Learning Model (HMTL), semi-supervised Lernalgorithmen zur Erstellung von Proxy-Labels auf unmarkierten Daten, BiLSTM, SalesForce MetaMind-Ansatz, DeepMind, Deep Transfer Learning for NLP, vortrainierte Sprachmodelle, Worteinbettungen / Worttaschen, Sequenz-zu-Sequenz-Modelle, Gedächtnis-basierte Netzwerke, Gegensätzliches Lernen, Verstärkungslernen, semantische Rollenkennzeichnung, Repräsentationslernen, Textklassifizierung mit TensorFlow Estimatoren, word2vec, Vektor-Raum-Modell/Mapping von Features zu Einbettungen, Skip-Grammen, Seq2seq Encoder-Decoder, ULM-FiT, ELMo, OpenAI Transformer / GPT, Google BERT, BERT, Transfer Learning, OpenAI Transformer, spaCy + Cython zur Beschleunigung, OpenNMT (Neural Machine Translation), AllenNLP (auf PyTorch), OpenNLP, Verstärkungslernen zum Erlernen korrekter Klassifizierungen/Labelzuweisungen/Fragen & Antworten, tief latente Variablenmodelle, Visual Commonsense Season Reasoning, Modell-agnostisches Meta-Learning (MAML), Multi-Hop-Denken, Aufmerksamkeitsmasken für (Self-Attention) GANs (SAGAN).
b. KI/AI/Data Science/Big Data: Algorithmen und Tools: LSTM vs. GRU, Feast AI Feature Store, K8s Sidecar Injector, TensorFlow 2.0 (Vorteile von Update/Migration), Tensor Comprehensions, Style GANs, Neural Ordinary Differential Equations, Visual Common Sense Reasoning, Deep Learning for Self-Driving Cars / Logically/temporally consistent virtual 3D city generation, Deep Labelling for Semantic Image Segmentation mit Keras/TensorFlow, Design Patterns for Deep Learning Architectures, DeepMind (Kapitan, Scalable Agent, Learning to Learn, TF Reinforcement Learning agents), Uber’s QALM (QoS Load Management), Fusion.js (JS framework supporting React, Redux & pre-configured optimized boilerplate, hot module reloading, data-aware server-side rendering, bundle splitting, plugin-architecture, observability, I18n), Horovod (distributed training framework for TensorFlow, Keras, PyTorch), Ludwig (train and test deep learning models without coding), AresDB (Uber's GPU-powered real-time analytics engine), Uber‘s Sparse Blocks Network (SBNet, TensorFlow algorithm), Google Dopamine reinforcement learning framework based on TensorFlow, Kubernetes Operator für Apache Spark, FastAI Deep Learning, Polygon-RNN++, Flow Framework: Project to Product Agile Process, IntelAI OpenVINO (inference serving component for AI models), IntelAI Nauta (distributed computing environment for running DL model training), TensorFlow Extended (TFX), Salesforce Einstein TransmogrifAI (machine learning automation with AutoML), OpenCV (Open Computer Vision Library), GluonCV.
c. Data Science-Beratung sowie Management-und Konvertierungskonzepte für Machine-Learning-Modelle mit ONNX (Open Neural Network Exchange : High-performance optimizer and inference engine for machine learning models and converter between TensorFlow, CNTK, Caffe2, Theano, PyTorch, Chainer formats).
DS-Ansatz (Data Science) TensorFlow für Bild-/Video-Analyse: Labeling und überwachtes Lernen zur korrekten Klassifizierung, verteiltes Hyper-Parameter-Tuning mit TensorFlow, Keras. ML Debugging/Erklärbare KI im Kontext von LIME, SHAP, partielle Abhängigkeitsdiagramme[Modellleckagen, Entscheidungserklärungen in if-Anweisungen, ....]; Modellspeicherung in PMML mit OpenScoring.io und HBase/MapR-DB + Apache Phoenix.
Bibliotheken / Tools MapR Hadoop, MapR-DB, MapR Control System (MCS) , MapR POSIX Clients, MapR expandaudit, Mesos, Hive, Ceph, RADOS, TensorFlow, Apache Spark, Alluxio, TensorFlowOnSpark, Docker, Kubernetes, Airflow, Kubeflow, CeleryExecutor, Jupyter, Zeppelin, PyTorch, MXNet, Chainer, Keras, Horovod, XGBoost, Keras, PyTorch, RabbitMQ, ONNX, Zephyr (Continuous Testing Agility), Red Hat OpenShift, Elastic/ElasticSearch, MS Azure Hybrid Cloud, , Kafka, Kafka, Kafka-REST Proxy, Confluent, Ansible, migriert nach SaltStack, OpenTSDB, CollectD, Python 3.x., DaSense 2&3, DaSense GPU Scheduler, CNTLM, Samba, Nginx, Grafana, Jenkins, Nagios, Scrum mit Elementen aus dem Flow-Framework (Project to Product).

Eingesetzte Qualifikationen

Big Data


Full Stack IT Architekt: Applikationen, Netzwerk, Security/DSGVO, APIs, Cloud, B
HSBC Trinkaus & Burkhard AG / HSBC Deutschland, gr, Düsseldorf, Homeoffice
12/2017 – 11/2018 (1 Jahr)
Banken
Tätigkeitszeitraum

12/2017 – 11/2018

Tätigkeitsbeschreibung

Projekt: Aufbau des SOCs (Security Operations Centers) sowie die engere Verzahnung/Integration der Tools, Vulnerability Management, Security Assessments/Bewertungen/Security-Architektur und Vorgehens-Empfehlungen, insbesondere bei der Einführung von Blockchain-Technologie (We.Trade auf R3/Corda für Zahlungen + Voltron auf HyperLedger für Handels-Dokumente + Utility Settlement Coin (USC)) sowie SAP für Kernbanking (Deposits Management, Collateral Management, Loans Management, Financial Supply Chain Management, SAP Bank Analyzer) bei gleichzeitiger Betrachtung der DSGVO-/GDPR-Anforderungen.

Tätigkeit:
1. Konzeption der Security-Maßnahmen für das neue SAP Core Banking System als Security Architect.
2. Überprüfung von Use Cases auf Relevanz für DSGVO/Datenschutz und Erstellung entsprechender Bewertungen, Ausfüllen von DSGVO-Formularen.
3. IAM (Identity and Access Management): SAP NetWeaver Identity Management (IdM) eingeführt mit SAML, OAuth, OpenId Connect, Kerberos; Konsolidierung der IAM-/IdM-Funktionalität, die vorher über verschiedene Technologie-Inseln verteilt waren wie LDAP, Active Directory (AD) Federation Services (ADFS), RACF, Oracle Enterprise Directory Server (OEDS), Lotus Notes Domino, etc.
4. Vorschlag von abgeleiteten IT-Security-Architektur- und DSGVO-Maßnahmen auf Basis der vorhandenen Grob-Architektur, Konzept für Privileged Account Management (PAM) und weitergehende Sicherheits-Maßnahmen.
5. Zukunftsvision der SOC-Architektur und Konzeption ihrer Komponentenarchitektur - mit möglichst vielen Open-Source-Tools, um Kosten zu sparen und neuesten KI/AI (Künstliche/Artificial Intelligence) und Machine Learning Frameworks: Spark + MLLib, XGBoost, ….
6. (Weiterer) Aufbau des SOCs (Security Operations Center) als Architekt/PM mit am Ende ca. 60 Security-Tools. Davon wurden ca. 15 Tools neu eingeführt. Deren Einführung sowie die Integration und Automatisierung eines Großteils der Tools habe ich insbesondere konzipiert und in Teilen programmiert: Automatisierte Echtzeit-Datenflüsse und Reduktion von False-Positives.
7. Red-Blue-Team Testing / Penetration Testing / PenTesting und Verteidigung, insbesondere bzgl. der Verwundbarkeit gegenüber aktuellen Exploits und den Indikatoren im SIEM und den Folgen/Risiken für die IT und der Optimierung der möglichst schnellen Erkennung mit wenigen False Positives.
8. Evaluierung der Risk Management Frameworks IRAM2, FAIR, OCTAVE, COSO gegen den MaRisk-Standard von 2017 und BAIT (Bankaufsichtlichen Anforderungen an die IT).
9. Erweiterung und Umsetzung von Vulnerability Management, Patch Management und Security-Standards-Compliance sowie Dokumentation dazugehöriger Risiken.
10. Patching-/Risk-Projektmanager Germany bzgl. Meltdown/Spectre (CPU Bugs).
11. Mitarbeit bzgl. IT-Sicherheit an der R3/Corda Blockchain Implementierung der HSBC in Kotlin mit über 100 anderen Banken und Vorbereitung der Herausgabe des Utility Settlement Coins (USC) der Großbanken sowie der Anbindung der Big Data basierenden Bank-eigenen Fraud Detection Lösung, z.B. bzgl. Security-Anbindung per BlueTalon + Ranger.
12. Integration von Security-Systemen per Serverless-Architektur über Google Cloud Functions per REST APIs mit Go: Automatisierte Integration von Configuration Management, Nessus- + Tripwire-Security Scans (Windows/Linux Datenbanken: Verwundbarkeiten und Compliance-Einstellungen) sowie der datenbankbasierten Auswertung der Scans (manuelle Gewichtungen) und Weiterleitung/Eskalation der Ergebnisse.
13. Mitentwicklung von Mobile-App- und Cloud Security Standards, insbesondere für Hybrid Clouds mit dem Google Cloud Stack, z.B. der Software-Defined Perimeter Ansatz.
14. Architektur obiger APIs nach Open Banking Standard mit Mulesoft AnyPoint Platform (API Gateway, App execution, API Repository & Portal, API Designer, Runtime Manager, CloudHub, Private Cloud, AnyPoint Studio).
15. Beratung der Architekten und Entwickler-Teams bzgl. sicherer Konzeption/Entwicklung, sicherer Anbindung von Security Libraries (z.B. Spring Security, SAML, OAuth, LDAP, OpenId Connect), Patchen von Library-Verwundbarkeiten (Vermeiden/Minimieren der Verwendung von anfälligen Versionen: Lösungen und Workarounds) und Security Code-Review mit Tool-Unterstützung (ConQAT + Teamscale von CQSE, Support Query Framework (SQF) und Code Inspector von SAP (ABAP), Micro Focus Fortify, LGTM, Semmle, FindBugs, PMD, SonarQube, Checkstyle, etc.) im Rahmen von TQE (Total Quality Engineering).
16. Beratung bei der Weiterentwicklung der Asset Management und Configuration Management Datenbanken/Systeme um priorisierte Risiko- und Gegenmaßnahmen-Einschätzung in Richtung des statistischen Common Criteria Ansatzes.
17. Internal Reviews/Assessments, Erstellen von Management Self-Identified Issue (MSII) Berichten als Vorbereitung für offizielle Reviews/Assessments.
18. Business Impact Analysis (BIA) und Global Application Security Risk Assessments (GASRA).
19. Business Process Definition / Optimization / Re-Engineering: Network Based Intrusion Prevention (NIPS), Vulnerability Management, Privileged Access Management, Testing & Patching, Anlegen/Anpassen von Beantragungs-/Entziehungs- und Überwachungsprozes-sen mit Neocase Advanced BPM Suite / NEO Process Manager.
20. Security-Architektur für einen Amazon-Cloud- und Serverless-PoC: AWS, Fargate, S3, EC2, VPC (Virtual Private Cloud), IAM, RDS, RedShift, Aurora, DynamoDB (Rel. DBs), Neptune (Graph DB), ElastiCache (In-Mem-DB), Elastic Beanstalk (Orchestration Srv), CloudTrail (Sec. Log), STS (Secure Token Srv), EKS (Elastic Kubernetes Service), EBS (Elastic Block Store), OpsWorks (Config Mgmt), SQS (Simple Queue Srv), CloudWatch (Billing/Metrics), Docker, Kubernetes, Kubeless, Go.
21. Security-Architektur für PoCs mit Blockchain for trade (We.Trade, Voltron, R3/Corda), Biocatch, Microplatforms, Eclipse Microprofile (Hammok, Red Hat Wildfly Swarm, Open Liberty/WebSphere Liberty), JWT, OpenTracing, MicroNaut, ThreatMetrix, UNSilo, Skytree, TidalScale, DataRobot, data iku, Ayasdi (AML), Quantexa, Seldon.io, gVisor.
22. Unterstützung bei der Einführung agiler Prozesse: Design Thinking (Empathie-Maps, Personas, User Profile Canvas, Value Proposition Canvas, Business Model Canvas, Business Ecosystem Canvas, Customer Journeys, HOOK (Trigger, Action, Variable Reward, Investment), SCAMPER (Substitute, Combine, Adjust, Modify, Put to other uses, Eliminate, Rearrange), MVP, MVE (Minimum Viable Ecosystem), Virtuous Loops, Systems Thinking, Business Ecosystem Design, Lean Canvas, NABC (Needs Approach Benefits Competition), SWOT) in Kombination mit DAD (Disciplined Agile Delivery) und SAFe (Scaled Agile Framework) – insbesondere Coaching und Halten von Präsentationen zu den Risiken agiler Verfahren – u.A. durch das Entfallen der Architektur-Phase (siehe meine Social Media Accounts), Mit-Einführen von WorkHacks (= LifeHacks für den Beruf).
23. Konzeption + (Teil-)Implementierung einer automatisierten Microservice/Serverless System-Security- und Vulnerability-Assessment und Reporting-Komponente in Python3 und JavaScript (mit PhantomJS, CasperJS, Bootstrap, a2ps), die automatisiert HTML- und PDF-Reports erzeugte aus Statistical Common Criteria Bewertungsergebnissen, Nessus- + Tripwire-Scan-Ergebnissen, CMDB-Infos (Config Mgmt DB namens ITDoku) etc. mit Integration zu diversen Systemen (Lotus Notes, CMDB, Excel-Dateien, Oracle-DB, CyberArk Password Vault, Inventory-Systemen zum Check der Kritikalität (BIA/GASRA), Installationsstatus von Security-Tools, etc.) per REST APIs, SysCalls und OAuth.
24. Insgesamt ca. 50 Verbesserungsvorschläge unterbreitet/umgesetzt, vor allem zur Verbesserung des SOCs / der effizienten Erkennung, Priorisierung und Beseitigung von Risiken/Angriffen.
25. Erstellung/Erweiterung/Schärfung von ca. 150 QRadar SIEM Use Cases für zielgerichteteres Security-Monitoring mit weniger False Positives oder weniger manuellem Nachrecherche-Bedarf bei Alerts (Minimierung der manuellen Aufwände).
26. SIEM-Alternativen: Evaluation von
a. ElasticSearch + Norikra Schemaless Stream Processing + Esper CEP (Complex Event Processing) + Apache Nifi + Kafka + Fluentd für SIEM Use Cases/Alerting, Datenextraktion aus Protokollen per WireShark-Plugins (z.B. bzgl. SMBv1 + v2 Exploits [EternalRomance, EternalBlue, EternalChampion, WannaCry]),
b. Apache Metron (ex: Cisco OpenSOC) + Blitz Incident Response + Apache Nifi + Hadoop + Apache Solr/HDP Search + Ranger + Atlas, Technologie-Workshops. Konzeptionen zu:
i. Dokumenten-Id-Vergabe und expliziter Verteilung der Dokumente auf Shards/Replicas und dessen Tracking.
ii. Parallelisiertem SolrJ-Client optimiert auf Antwort-Geschwindigkeit.
iii. Loadbalancer-Switching-Logik.
iv. Schutz gegen bösartige Ambari-Administratoren.
v. Integration der Lösung in das Single Sign On (SSO) Konzept mit Identity & Access Management per LDAP, SASL, explicit TLS.
27. Konzeption/Implementierung eines Apache Spark + MLlib + Kafka basierenden Data Science und Machine Learning Systems zur Erkennung von Incidents/Malware/Netzwerk Anomalien mit H2O.ai.
DS-Ansatz (Data Science) zur Erkennung von Incidents/Malware/Netzwerk-Anomalien Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Random Forest, Gradient Boosting (GBM, xgboost), Cubist (Erweiterung von Quinlan’s M5 model tree), C4.5, Assoziationsanalyse, (Nicht)lineare Regression, Multiple Regression, Apriori-Analyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke.
Bibliotheken / Tools SAP Basis, FI/CO, DM, CM, LM, FSCM, FS, FS-BA, SAP NetWeaver Iden-tity Management (IdM), IBM FileNet, SAP Business Objects, Mulesoft AnyPoint Platform (API Gateway, App execution, API Repository & Por-tal, API Designer, Runtime Manager, CloudHub, Private Cloud, AnyPoint Studio), Symantec DCS, Symantec DLP, Symantec PGP Server, Syman-tec SSLVA, TrendMicro Deep Discovery + Antivirus (AV), Cisco Router, ASA, Switches, CheckPoint Firewalls/IDS/IPS, Barracuda WAF, Windows & SAP PKI & IAM, IBM QRadar, IBM Resilient, IBM InfoSphere Guar-dium (Monitoring: DB, etc.), IBM Vanguard, IBM RACF, IBM EventAction, Nessus Vulnerability-Scanner, ForeScout (vulnerable IoT), Proofpoint (E-Mail Security), CrowdStrike (Endpoint Protection), McAfee (Antivirus + HIPS + Drive Encryption + E-Mail Gateway + ePolicy Orchestrator ePO), Skyhigh (Web Browser isolated in the Cloud, Secure Cloud Services), MenloSecurity (DLP, Absichern von E-Mail- und WebLinks), Cisco Open DNS, BlueCoat Proxy/SSL Decryption/AV, CyberArk Password Vault + Privileged Threat Analytics (PTA), Tufin (Network Security Policy + Firewall Management), Ivanti Application Control (ex: AppSense), En-case Endpoint Security/Forensics, Lumension Endpoint Security, Micro-soft Baseline Security Analyzer (MBSA), RSA enVision, SCCM Windows Compliance, Trustwave DbProtect, DB SAT, Avecto Defendpoint, Centrify DirectAudit, Dark Trace (UEBA: User & Entity Behavior Analytics / NGAV: Next-generation antivirus platforms / DER: Endpoint Detection and Response), DFLabs (SOAR: security orchestration, automation and response), AutoSploit, MetaSploit, Cuckoo Malware Analysis (in virt. Sandbox), MS Visual Studio, Eclipse + Java 1.8, Keycloak, Snort, Python 3.7, p0f, Cluster SSH, Open Workbench, viele Open Source Tools (Fuz-zer, Exploits, Utilities, …), Vizolution, Google Cloud Platform (GCP: Cloud Functions/Datastore/Storage, Cloud Pub/Sub, Endpoints, RSocket, Tools: gVisor (User Space Kernel), Apigee, Cloud Dataflow, BigTable, BigQuery (DWH), BigQuery ML (BQML), Firestore, Firebase, Memo-rystore, Datastore, Cloud Spanner, Cloud Launcher, Cloud SQL, BigCom-pute, Cloud ML Engine, Apache Beam, bdutil, Dataproc (Managed Hadoop), Stackdriver (Systems Management), AutoML, Google Kubernetes Engine (GKE)), Apache Spark + MLlib + Kafka, H2O.ai, We.Trade, Volt-ron, R3/Corda), Biocatch, Microplatforms, Eclipse Microprofile (Ham-mok, Red Hat Wildfly Swarm, Open Liberty/WebSphere Liberty), JWT, OpenTracing, MicroNaut, ThreatMetrix, UNSilo, Skytree, TidalScale, Da-taRobot, data iku, Ayasdi (AML), Quantexa, Seldon.io, gVisor.

Eingesetzte Qualifikationen

Cyber Security


Coach: Big Data Architektur, Data Science, Test Management
Schwarz-Gruppe (Lidl & Kaufland), größter Europäis, Heilbronn, Homeoffice
9/2017 – 12/2017 (4 Monate)
Handel
Tätigkeitszeitraum

9/2017 – 12/2017

Tätigkeitsbeschreibung

Tätigkeit: 1. Zwecks Einarbeitung & Coaching-Grundlage: Erhebung der Ist-Situation bzgl. Tools, Algorithmen und IT-Umgebungen; Mitarbeit bei der Erstellung von Ab Initio Graphen/Lineages als ETL-Pipelines unter Integration von Teradata BTEQs/ActiveBatch/SQL, R, Python, Spark, Hive, SAP, MicroStrategy.
2. Big Data und Data Science Architekturberatung: R on Spark mit SparklyR vs. SparkR, Hive/Beeline Query Optimierung, Integration mit Teradata QueryGrid/Teradata Connector for Hadoop (basierend auf Sqoop).
3. Konzeption/Entwicklung von AbInitio ETL-Pipelines mit GDE/TRMC/EME, Express>It (BRE), Conduct>It (CC), Query>It, Metadata Hub (EME).
4. Vorschlag und Mit-Auswahl von BI & Analytics Use Cases: Promotions (Angebote/Preisveränderungen (PV)), Dynamic Pricing, Backschema, Category Management, Palettenfaktor, Kollisortierung, Shopping Missions, Einkaufs-Planung, Logistik-Planung, Rücksende-/Rückläufer-/Remittenden-Planung.
5. Mitarbeit im Predictive Modelling von Marketing- und Logistik-Prozessen und der Vorhersage des Effektes von Sonderangeboten und diversen Werbemaßnahmen.
6. Beratung zur Auswahl eines Workflow-Management-Tools Oozie, ActiveBatch, Azkaban (LinkedIn), Airflow (Airbnb), Scripting.
7. Berechtigungskonzept mit Apache Ranger, Rechte-Datenbank & LDAP für Hortonworks Hadoop miterstellt.
8. Erstellung von Cross-Platform Packaging-, Versioning-, Deployment- und Dependency-Management-Konzepten für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy mit Conda/Anaconda, Python, sbt, Java 9 Platform Module System (JPMS) = Project Jigsaw, etc.
9. Virtualisierungskonzepte erstellt für alle Tools mit VMware, Docker, Rancher und Kubernetes, einschließlich Netzwerkkonnektivität, Debugging, Tracing und Monitoring-Funktionen.
10. Erstellung eines 400-seitigen Test-Management-Konzepts incl. ETL- und BI-Testing mit IT-Security für 6 Test-Umgebungen sowie für Python, R, Big Data (Spark, Hive, etc.), Teradata, SAP, Ab Initio, MicroStrategy, Continuous Integration/Deployment mit Jenkins und Sonar(Qube).
DS-Ansatz (Data Science): Random Forest, Gradient Boosting (GBM, xgboost), Cubist (Erweiterung von Quinlan’s M5 model tree), Zeitreihenanalyse, Assoziationsanalyse, (Non-)Linear Regression, Multiple Regression, Anomalie-Erkennung, Apriori-Analyse, Warenkorbanalyse, Überwachte Klassifizierung, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt), ML-Debugging/Explainable AI im Kontext von LIME, SHAP, partial dependency plots [model leakages, decision explanations in if-statements, …]; Model-Storage in PMML mit angepasstem OpenScoring.io (mit Spring) und Apache Phoenix.
Bibliotheken / Tools Red Hat OpenShift, Docker, Kubernetes, Rancher, R, Big Data (Spark, Hive, Oozie, etc.), Teradata, SAP CAR (Customer Activity Repository 2.0), SAP HANA, SAP BW (Business information Warehouse), SAP BO (Business Objects Business Intelligence), Bex Analyzer, Analysis for Office (AfO), Ab Initio (GDE/TRMC/EME, Express>It (BRE), Conduct>It (CC), Query>It, Metadata Hub (EME)), MicroStrategy, QlikView, MS Visio, Java 9 mit Java Platform Module System (JPMS) = Project Jig-saw, maven, Risk-Based Testing, Apache Ranger, Python: Airflow, Nose2 test suite, Egg packaging, SparkR/SparklyR, webMethods (ESB der Software AG), Scrum, SoS (Scrum of Scrums), LeSS (Large Scale Scrum).

Eingesetzte Qualifikationen

Big Data


Coach: Big Data Architektur & Data Science
Avira, Tettnang, München, Homeoffice
6/2017 – 9/2017 (4 Monate)
Medienbranche
Tätigkeitszeitraum

6/2017 – 9/2017

Tätigkeitsbeschreibung

Tätigkeit: 1. Konzeption und Implementierung von Inspectrum, einem Big Data & Apache Spark Data-Flow-Instrumentation & Configuration Framework in Scala: Über JSON/HOCON (Human-Optimized Config Object Notation) Konfigurationsdateien konnten am Ende beliebige Datenflüsse über Spark und sein Ökosystem (incl. Umsystemen) konfiguriert statt programmiert werden mit erheblicher Zeitersparnis. Anbindungen wurden konzipiert für Hive, HBase, Couchbase sowie eine Daten-Filter-Komponente und Virtualisierungen der Komponenten mit Docker, Kubernetes, Rancher.
2. Architekturberatung bzgl. Real-time Use Cases und deren Umsetzung, Datenbanken, Data Science Algorithmen; Architektur von HBase-Datenstrukturen; Pro-Contra-Beratung zum Einsatz von Apache/Cloudera Kudu.
3. Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io, Apache OpenNLP (Natural Language Processing), NLTK (Natural Language ToolKit: tagging/chunk parsing), Apache UIMA (Unstructured Information Management architecture/applications).
4. Data Science Beratung: Vorschlag von Verfahren zur Informationsgewinnen fürs Marketing, für Produkt-Analyse und Security-Analysen sowie für den Avira Boot Optimizer. Vorschlag von Algorithmen für die Nutzung/Analyse der gewonnenen Infos, etwa durch das In-Product-Messaging, den Antivirus, etc.
5. Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
6. Integration von SailPoint IAM mit Big Data über Apache Sentry.
DS-Ansatz (Data Science): Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung, Gradient Boosting (xgboost), Assoziationsanalyse, Abhängigkeitsanalyse zur Optimierung der Boot-Zeiten, Maximum-Likelihood-Schätzer bzgl. Marketing-Maßnahmen-Effizienz und Konvertierung vom Free-Antivirus-Nutzer zum zahlenden Kunden.
Bibliotheken / Tools OpenShift, Cloudera Hadoop, Apache Spark, Couchbase, HBase, R, Python, SparkR, CentOS, Intellij IDEA, git, Github, Docker, Kubernetes, Rancher, Apache Sentry, Ubuntu, Scrum-Prozess.

Eingesetzte Qualifikationen

Big Data


Coach: Big Data Architektur, Data Science Aspekte sowie Use-Case-Bewertungen
BNP Paribas Personal Investors (Consorsbank, DAB), Nürnberg, München, Homeoffice
5/2017 – 8/2017 (4 Monate)
Banken
Tätigkeitszeitraum

5/2017 – 8/2017

Tätigkeitsbeschreibung

Projekt: Make or Buy Entscheidungs-Vorbereitung im Marketing bzgl. einer In-House Customer Intelligence (CI) und Programmatic Advertising Lösung für Cross-Selling über verschiedene Kunden-Touchpoints hinweg, Dynamic Offering, Net Promoter Score (NPS) Optimierung und Data-driven Sales (DDS) per Data Management Platform (DMP).
Eigene Rolle: Coach: Big Data Architektur, Data Science Aspekte sowie Use-Case-Bewertungen
Tätigkeit: 1. Marketing-Strategie Beratung per Design Thinking mit Customer Journey Mapping und Dokumentation der Kunden-Firmen-Touchpoints bzw. Interaktionen, Vermittlung des relevanten Wissens zu den neuesten Programmatic Marketing Ansätzen und den entsprechenden Data Science Grundlagen. Einführung in Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP). SWAT-Diskussionen (Strengths/Weaknesses/Opportunities/Threats) dazu initiiert und geleitet.
2. Recherche von möglichen Anbietern in obigen Bereichen mit Schwerpunkt auf Customer Intelligence (CI), Customer Data Platforms (CDPs) und Marketing Automation Platforms (MAP) und Kontaktieren der Anbieter: IBM Interact, Oracle Real-Time Decisioning (RTD), SAS Customer Decision Hub, Pega Customer Decision Hub, Adobe Marketing Suite/Cloud, Prudsys, SC-Networks Evalanche, PIA/Dymatrix DynaCampaign, DynaMine, CrossSell, ComArch, FIS Global, DMP-Produkte (AdForm, The Adex, Annalect, Otto, Xaxis Turbine, Acxiom, ...).
3. Erarbeitung der Use-Cases nach Use Case 2.0 Ansatz (inclusive MVP – Minimal Viable Product) mit dem Marketing-Fachteam (besonderer Fokus auf mögliche Echtzeit-Anforderungen/Use Cases) und Bewertung der möglichen Cash Flows sowie der verschiedenen KPIs wie ROI, NPV (Net Present Value), IRR (Internal Rate of Return), WSJF Verspätungskosten (Weighted Shortest Job First), NPS (Net Promoter Score), NBI (Net Banking Income). Anschließende Einführung von weiteren Lean-Startup-Prinzipien sowie Microservices, Evolutionary Architecture, Mobile App Anbindung und passendem Versioning.
4. Datenschutz Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) (Regulation (EU) 2016/679): Beratung zur Legalität der Verbindung von Nutzungs- und Kundendaten und deren Nutzung zu Marketing-Zwecken.
5. Erstellung einer Baseline-Hadoop-Architektur mit Aufwands-Schätzungen als mögliche Make-Lösung auf Basis von Apache Spark mit Streaming, Alluxio Caching, QBit Microservices, Aerospike DB, Cassandra DB, jBPM, Drools, Oryx 2, WEKA, MOA, Sqoop 1/2, SAS. Diese diente dann auch dem Einkauf zur Preis-Verhandlung.
6. Beratung zu möglichen Data Science Algorithmen rund um das KNIME-System zur Kundensegmentierung und der Ableitung von Produkt- bzw. Marketing-relevanten Affinitäten/möglichen Kundeninteressen und Kundenpfaden: DynaMine, Gradient Boosting (xgboost), Nichtlineare Regression, Random Forests, C4.5, etc.
7. Beratung des Parallelprojekts „Corporate Data Hub“ (Digital Transformation / Digital eXperience (DX) Plattform) auf Basis von Spark, Cassandra DB und PostgreSQL, insbesondere bzgl. Anbindungs-Möglichkeiten mit den Marketing-Lösungen und wie diese als PoC (Proof of Concept) für den Data Hub verwendet werden können.
8. Konzeption einer Dynamic Offering Erweiterung HintLog für Dymatrix DynaCampaign: Mit minimalem Aufwand konnten so alle Teilnehmer an Bonus- oder Marketing-Programmen Nachrichten erhalten, wenn irgendwelche Fehler auftauchten oder sie aufgrund von Detail-Regelungen Gefahr liefen, aus dem Programm herauszufallen: Kunden haben dann meist Nachfristen bekommen und so konnte durch das Vermeiden ärgerlicher Situation der NPV-Wert (sprich: die Kundenzufriedenheit) stark gesteigert werden.
9. Review der bestehenden BPM-Modelle in Camunda und Erweiterung dieser Modelle in Camunda um neue Marketing/Kampagnen Use Cases.
10. Konzept erstellt zum semantischen Analysieren und Steuern von Marketing-Kampagnen nach z.B. Kundeninteressen, Kundensituationen, aktuellen Markttendenzen sowie Firmen-Interessen, z.B. als kombinierte/konzertierte Rabattaktionen über verschiedene Teile des Angebots hinweg oder um übergeordnete Marketing-Aussagen in untergeordneten Aktionen immer wieder zu re-iterieren und insgesamt Konsistenz und Stringenz in den Aussagen zu erreichen. Erkannte Kunden-Sitationen/Segmente, Interessen und Unterstützungsbedarf kann so möglichst zielgenau eingesetzt werden, so dass es von den Kunden als hilfreich geschätzt wird und später aus einer Vertrauensbasis heraus (Produkt-/Service-)Empfehlungen gegeben werden können.
11. Natural Language Processing (NLP): Analyse von Kunden-Feedback/Stimmungen mit spacy.io in Python (Net Promoter Score (NPS) Erhebung und Verbesserung).
12. Mitarbeit beim Digital David Projekt als Technologie- und NLP-Berater, der Erstellung eines Chatbots mit IBM Watson Technologie (mittlerweile bei consorsbank.de im Kundenbereich online): Vision: Chatbot der alle Invest- und Banking-Präferenzen der Kunden kennt incl. Konto-, Depot- und WKN-/ISIN-Nummern mit Charts/Trends/Abhängigkeiten und alle Suchen nach Anlagemöglichkeiten durchführt (mit RoboAdvisor im Hintergrund) und daher hohe Kundenbindung und hohe Verkaufskennzahlen erzielt. Meine Arbeit: Analyse der zu erwartenden Text-Dialog-Scripting Aufwände (aufgrund der technisch veralteten Funktionalitäten für Chatbot-Entwickler) und der Total Cost of Ownership (TCO) der IBM-Watson-Lösung und Gegenüberstellung mit einer neuen DLNLP-Architektur (Deep Learning Natural Language Processing) basierend auf Open Source zwecks Preisverhandlungen der Beschaffung: Elemente meiner Open Source Chatbot-Architektur mit DLNLP Tools (Deep Learning Natural Language Processing): Seq2seq, word2vec, ULM-FiT, ELMo, OpenAI Transformer / GPT, Transfer Learning, OpenAI Transformer, spaCy, Stanford CoreNLP, AllenNLP und Virtualisierung mit Docker/Kubernetes zum Training in der Cloud.
DS-Ansatz (Data Science): Zeitreihenanalyse, Anomalie-Erkennung, Apriori-Analyse, Überwachte Klassifizierung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, Kunden-Segmentierungstechniken z.B. nach Personas mit KNIME, DynaMine, Gradient Boosting (xgboost), Nichtlineare Regression, Random Forests, C4.5.
Bibliotheken / Tools RedHat OpenShift, Red Hat 3scale API Management, IBM Watson, Cloudera Hadoop, Apache Spark mit Streaming und MLlib, Cassandra DB und PostgreSQL, Aerospike, KNIME, DynaMine, SAS, DynaCampaign, MS Visio, Sparx Enterprise Architect, Camunda, JBoss Drools, Scrum-Prozess, LeSS (Large Scale Scrum.

Eingesetzte Qualifikationen

Big Data


Couch mit Schwerpunkt Big Data Architektur, IT Projektmanagement und teilweise S
Credit Suisse, Zürich
2/2017 – 5/2017 (4 Monate)
Banken
Tätigkeitszeitraum

2/2017 – 5/2017

Tätigkeitsbeschreibung

Erstellung eines bankweiten Cloudera-Hadoop basierenden Business Transaction Stores (Speicher für alle Finanztransaktionen als Digital Transformation / Digital eXperience (DX) Plattform) mit einem ka-nonischen leistungsfähigen Datenformat (zum Speichern aller Details aller erwartbaren Transaktionen) mit verlustfreien Import- und Export-Filtern sowie Auswertungsfeatures in den folgenden Bereichen: Kontobewegungen, Aktien, Zinsinstrumente, Derivate, ETFs, Fonds (d.h. beliebige “Securities” bzw. Wertpapiere), Berechnung von Bestands-, Kosten- und Risiko-Kennzahlen, Übersichten für’s Wealth Management sowie Steuern, Reporting, Betrugserkennung und Vorbereitung der Möglichkeit des Heraustrennens der Funktionalitäten einer Wertpapier-Transaktionsbank.
Typ/Dauer: Weil CS zum 2. Mal hintereinander einen Verlust von ca. 2,5 Mrd. CHF eingefahren hatte, wurde das Projekt kleiner als geplant umgesetzt und es sollte der Rest Offshore umgesetzt werden. Durch professionelles Coaching sollte nur das professionelle Aufgleisen und Ausrichten des Projekts sichergestellt werden incl. Etablierung einer professionellen Kommunikationsstruktur.

1. Review und Verbesserung der vorgeschlagenen Grob-Architektur, Ausarbeitung des FeinArchitektur-Dokuments auf Basis zahlreicher Meetings und E-Mails mit dem Fachbereich;
2. Konzeption von Datenmodellen zur redundanzfreien Konvertierung/Speicherung/Aufbereitung und Auswertung aller bestehenden Bank-Transaktionen mittels logischer/physischer Datenmodelle.
3. Konzepte erstellt für Back-Office-Verarbeitungsverfahren (Reconciliation, Transaktions-Bäume/Graphen als Struktur und bzgl. Aufbau aus zeitlich versetzt und nur teilweise eintreffenden Informationen, Link-Resolution auf dieser Basis); POCs bzgl. komplexer Punkte selbst in Java/Scala programmiert.
4. Konzeption einer IT-Basis für Finanz-Planungs-Modelle/Investment-Strategien incl. Steueroptimierung für Wealth Management, Investment-Manager sowie strategische Investitionen.
5. Konzeption der initialen Amazon AWS-Umgebung (benötigt solange die Bank-Umgebung nicht fertig war) und Umsetzung mit AMInator.
6. Security: Anbindung von Apache Sentry an das zentrale IAM-System (Identity & Access Management) der Bank bzw. initial an LDAP. Härtung der Systemkomponenten bzgl. IT-Sicherheit.
7. Konzeption der Spark/Kafka Exactly-Once Verarbeitungsfunktionalität sowie der Gesamt-Business Continuity Funktionalität.
8. Erstellung eines Data Mapping und Versionierungskonzepts mit Umsetzung über ein Switchboard-Pattern: Abwägen der Möglichkeiten der Konvertierung/des Upgrades von Datenformaten/Protokollen/Microservices vs Lazy/Eager Migration von Daten; HBase-Avro-basiertes Versionieren, Bitemporale Logik, Semantisches Versonieren, versionierte lokale/verteilte Microservices mit QBit/Lagom/Spring Boot; DDD-Datenmodelle mit Bounded Context, Context Maps, Self Contained Systems (SCS). Change Management/Versionierung mit Oracle Data Relationship Management (DRM).
DS-Ansatz (Data Science): Rekonstruktion aller Transaktionsbäume mit allen Zweigen, Zeitreihenanalyse, Anomalie-Erkennung, Überwachte Klassifizierung, Apriori-Analyse, Gradient Boosting, Multi-Level-Methoden (Transaktion / Konto / Kaufmann / Konzern), Assoziationsanalyse, Link-Analyse-Netzwerke, Maximum-Likelihood-Schätzer, Berechnung eines Verdachts-Scores, sonstige klassische und mehrstufige Verfahren zur Betrugserkennung (siehe gesonderten Abschnitt).
Cloudera Hadoop 5.8 mit HBase + Phoenix, Spark Streaming, MLlib, Alluxio, Kafka mit Camus/Goblin, HDFS, Hive, Flume, Impala, PostgreSQL, Zookeeper, YARN, Hue, Grafana, Cloudera Manager, Apache Sentry, Solr, Splunk, IBM WebSphere MQ, Oracle Weblogic, Sparx Enterprise Architect, Visio, Informatica Data Integration, IBM Integration Bus (IIB) Graphical Data Mapping Editor, JT400/JTOpen, MS Office, Scala, Java, Python.

Eingesetzte Qualifikationen

Apache Hadoop


Architekt eines Blueprint-Dokuments zur Integration von Microservices mit mobile
Cisco Systems mit AOK Nordost und AOK Systems als, Berlin, Homeoffice
12/2016 – 1/2017 (2 Monate)
Gesundheitswesen
Tätigkeitszeitraum

12/2016 – 1/2017

Tätigkeitsbeschreibung

Zusammentragen der führenden publizierten Techniken und Tools zu Microservices und Mobile Apps & Big Data sowie der integrativen Erstellung von Software mit allen Aspekten in Form eines ca. 250-seitigen Architektur Blueprints mit folgenden Inhalten: Architekturziele, Architekturprinzipien, Architekturstandards, Patterns, Neuentwicklung von Konzepten für lokale und vereinfachte Microservices (Neukonzeption eines Code Generierungs-Modells, um viele Microservices in Java/Scala als ein JAR/WAR/EAR oder als mehrere Deployment-Module bauen und debuggen/tracen/testen zu können), Microservice Best Practices, API Management, Datenkonvertierung/Serialisierung, Logging/Tracing, IT-Sicherheit/IAM, Modellierung per Domain-Driven Design (DDD) mit Bounded Context, deren Building Blocks und Responsibility Layers, Self Contained Systems (SCS) und Integration der Mobile-App Komponenten, KPI (Key Performance Indicators), Migrationsschritte von Monolithen hin zu Microservices, Software Load-Balancing, Infrastructure as Code, DevOps-Praktiken wie Continuous Integration und Continuous Deployment.
Im praktischen Teil wurde der Code-Generator entwickelt für die Kombination mehrerer Versionen eines oder verschiedener Microservices in ein Deployment-Paket oder in je ein JAR-Paket. Die unten genannten führenden Microservice-Bibliotheken für Java, Scala und Node.JS mit AngularJS 2 und Ionic Framework (Mobile Apps) wurden getestet/evaluiert.
Standard-Tools: Spring Boot, Spring Cloud (RESTful WebServices in Java), Spring Boot Devtools [hot reload], Lagom (Microservices in Scala), Akka, Apache Gearpump (real-time big data streaming engine over Akka), Apache Flink (actor model, hierarchy, Deathwatch mit libs: CEP, Table, FlinkML, Gelly), spray (HTTP/REST), Spark, HashiCorp Nomad (Clustermanager & Scheduler), SenecaJS, swagger-codegen, Scraml, RAML tools wie JAX-RS Codegen, API Designer, JHipster (yeoman.io, Java & AngularJS microservice generator mit BrowserSync, Liquibase, Generator for Ionic framework), Axon Framework (Java Microservices), OData Microservices mit Apache Olingo, Zipkin/OpenZipkin, OpenTracing, HTrace, Fluentd (data collector for unified logging), DropWizard, Hashicorp-Tools wie Serf, Consul, Nomad (Clustermanager & Scheduler), DevOps- und Continuous Integration/Deployment Tools wie Jenkins, Sonar(Qube), Git, Github, Docker, Kubernetes, Rancher, Chef, Puppet, Prometheus (Monitoring), Ubuntu.
Big Data Stack: Thrift, Avro, Spark, Flink, HBase, Cassandra, Hadoop, Cloudera, Hortonworks, Grafana, Hue, VMware, kvm.
Netflix-Stack: Hystrix (Failure Isolation, Circuit Breaker), Hollow (small to moderately sized in-memory datasets passing from a single producer to many consumers for read-only access), Netflix Conductor (microservices orchestrator), Nebula Gradle plugins, Governator (Guice extensions), Zuul (dynamic routing, monitoring, resiliency, security), Genie (job orchestration), Dyno, Dynomite (storage layer for key-value storage engines), Dyno Queues (Task Queues on Dynomite), Hollow (caching for small read-only in-memory datasets), Astyanax (resilient Cassandra client), EVCache (AWS EC2 memcache), Atlas (In-memory dimensional time series database), Spectator (instrumenting code to record dimensional time series), Vector (performance monitoring framework), Chaos Monkey/Simian Army (failure testing and resilience tools), Spinnaker (continuous delivery platform), Message Security Layer (MSL), Falcor (represent remote data sources as a single domain model via a virtual JSON graph), Restify (node.js/NodeJS REST web service API framework), RxJS (reactive programming library for JavaScript), Aminator (create custom AMIs - Amazon Machine Images), RxNetty (reactive extensions for Netty: asynchronous event-driven network application framework), Ribbon (IPC with software load balancers), Stethoscope (Security analysis).
Zalando Mosaic9.org Stack: Tailor (assembling GUI fragments), Skipper (extendable HTTP router for service composition), Shaker (UI components library), Quilt (template/layout storage for Tailor), Innkeeper (RESTful API that stores routes for Skipper).

GE (General Electric) Renewable Energies, Frankfurt/Main, Homeoffice
10/2016 – 12/2016
Digital Windfarm: Konzeption einer „on premise“ und AWS Cloud Architektur für die effiziente massiv-parallele in-memory Berechnung der Dimensionierung von Windrädern (Alterung, Regen, Leistungsoptimierung am jeweiligen Standort) basierend auf den GE-Flex5-Tools.
Big Data Architekt
Fachlich:
1.) Analyse der bestehenden Flex5-Tools in Pascal/Delphi sowie der zugrundeliegenden Mathematik, insbesondere bzgl. Parallelisierungs-, Verteilungs- und Caching-Möglichkeiten.
2.) Sammlung und Erarbeitung von evolutionären Verbesserungsmöglichkeiten der bestehenden Flex5-Lösung, z.B. durch mehr In-memory Processing und explizites Caching von Zwischenergebnissen.
3.) Erstellung einer Zielarchitektur basierend auf im Kern Spark mit Alluxio sowie Ergänzungen für den Einsatz im Intranet (on premise) und in AWS (Amazon Web Services, EC2) mit entsprechenden IT-Sicherheitsmaßnahmen und mit Migrationsstrategie.
4.) Abstimmung der Anbindung der parallel erarbeiteten AngularJS 2.1 Web-Benutzeroberfläche an das Backend.
5.) Analyse der Performance der bisherigen Lösung unter Windows/Linux mit procmon.exe sowie eigenem Win-API-Hooking-Tool und Python-Auswerte-Skripten. Export nach Excel in Excel-Pivot-Tabellen und Erstellung VBA-basierter komplexer Auswertungen.
6.) Wirtschaftlichkeitsberechnung der Migration in MS Excel per Formeln, VBA nach einem neu-entwickelten nicht-linearen Keep-/Replace-/Modernization-Szenarien-Verfahren, das sich auf ca. 20 nicht-lineare Kosten-Nutzen-Verläufe von ca. 50 Einflussgrößen stützt, die separat modelliert wurden.
Technisch:
Ad 3: Darin enthalten war auch eine kurze Betrachtung der besten Alternativlösungen (Flink, YARN, Storm + Trident, FastR, etc.) und Beschreibung von deren Vor- und Nachteilen.
Bzgl. IT-Sicherheit war neben dem Schutz gegen Hacker durch ein Bündel von Maßnahmen vor allem die korrekte Autorisierung und Zuordnung der Daten und Datenflüsse wichtig, was über Virtualisierung mit VMware oder Docker, Kubernetes, Rancher sowie über die Security-Toolkits Apache Sentry/Shiro, Knox, Falcon, Atlas erfolgte.
Die Migrationsstrategie basierte Bottom-Up auf verschiedenen Loop-Unrolling bzw. Schleifen-Parallelierungs-Strategie über Thread-Parallelisierung und das Herausziehen und Caching von Zwischenergebnissen, aufgeführt prototypisch am Beispiel der Delphi nach Scala Portierung für die Datenverarbeitung mit Spark.
Ad 5: Da procmon.exe aber für längere verteilte Läufe mit einigen GBs an Daten abstürzte: Entwicklung einer Zeus-Rootkit basierenden API-Hooking-Methode für Win-API-Methoden wie ReadFile, WriteFile, Process Start, Process Exit, Thread Start, Thread Exit, CreateFile, MapViewOfFile und direkte Auswertung nur der relevanten Daten. Daraus Ableitung der Optimierungspotentiale und des Skalierungsverhaltens.
Ad 6: Etablierte Verfahren der Wirtschaftlichkeitsberechnung wie Discounted Cashflow, ROI/ROSI (Return on [Security] Investment), NPV (Net Present Value), Internal/External Rate of Return (IRR/ERR) können nicht-lineare Verläufe der zugrundliegenden Faktoren nicht berücksichtigen. Hier ging es jedoch neben eher konstanten Werten wie Inflationsrate, Interner Zinsfuß, Prozent pro Jahr veränderter Quelltexte durch CRs(Change Requests), effektive Firmen-Steuer-Rate weitgehend um Konjunktur- und Technologie-Wellen-abhängige Kosten- und Risiko-Faktoren wie (auf engl.): Hardware Upgrade/Repair, Scaling / Bigger data amounts, Administration, Inflexibility (e.g. no virtualization, no mandator capability), Development of Extensions/CRs, Errors due to Knowledge/People Loss, Time to hire Contractors, Training Time for Team Members, CPU/IO Utilization Inefficiencies, End User waiting Time, Reputation cost due to old Technology, Immature Technology/Toolset, Old Technology/Toolset, Lack of Motivation due to old Technology / old Age of Employees, Not being able to take advantage of latest Tech's Features in CRs, Poor interoperability, Workarounds due to technological deficiencies, Sudden technological dead End and Cost of immediate Technology Switch, Revolutionary sudden change costs.
Hierzu habe ich sehr aufwändige nichtlineare Kosten-Nutzen-Analysen für Keep-/Replace-/Modernization-Szenarien erstellt nachdem ich den Stand der Wissenschaft recherchiert hatte. Kern war die Approximation/Schätzung der Eingangsfaktoren über Datenreihen und Interpolation mit kubischen Splines. Dann wurde die Zeit in Tages-/Monats-/Quartals-/Jahres-Schritten hochgezählt und die Eingangswerte entsprechend per Spline-Interpolation geschätzt, kumuliert, abgeschrieben, abgezinst und zwischen den Keep-/Replace-/Modernization-Szenarien verglichen – jeweils mit Best-, Medium- und Worst-Case-Analyse in VBA. Ich habe eine graphische interaktive Auswertung hierzu mit TreeView und Pivot-Tabellen erstellt. Es ist eine wissenschaftliche Publikation hierzu geplant, denn das Verfahren kann generell für die Wirtschaftlichkeitsberechnung solcher nicht-linearer Keep-/Replace-/Modernization-Szenarien verwendet werden, insbesondere für Big-Data-Projekte.
Projektende: GE entschied sich schließlich, die Alt-Architektur selbst evolutionär mit In-Memory-Processing Technologien weiterzuentwickeln und wegen der Amortisierung erst nach 5-7 Jahren in diesem Projekt noch nicht Big Data zu nutzen.
Cloudera Hadoop, mit Spark (SQL, DataFrames, MLlib) + Alluxio (ex: Tachyon), SMACK (Spark, Mesos, Akka, Cassandra und Kafka), Amazon AWS mit Spark, testweise Apache Flink, PuTTY, VMware, Ubuntu.

Eingesetzte Qualifikationen

Apache Hadoop, Big Data


Big Data Architekt
GE (General Electric) Renewable Energies, Frankfurt/Main
10/2016 – 12/2016 (3 Monate)
High-Tech- und Elektroindustrie
Tätigkeitszeitraum

10/2016 – 12/2016

Tätigkeitsbeschreibung

Fachlich:
1.) Analyse der bestehenden Flex5-Tools in Pascal/Delphi sowie der zugrundeliegenden Mathematik, insbesondere bzgl. Parallelisierungs-, Verteilungs- und Caching-Möglichkeiten.
2.) Sammlung und Erarbeitung von evolutionären Verbesserungsmöglichkeiten der bestehenden Flex5-Lösung, z.B. durch mehr In-memory Processing und explizites Caching von Zwischenergebnissen.
3.) Erstellung einer Zielarchitektur basierend auf im Kern Spark mit Alluxio sowie Ergänzungen für den Einsatz im Intranet (on premise) und in AWS (Amazon Web Services, EC2) mit entsprechenden IT-Sicherheitsmaßnahmen und mit Migrationsstrategie.
4.) Abstimmung der Anbindung der parallel erarbeiteten AngularJS 2.1 Web-Benutzeroberfläche an das Backend.
5.) Analyse der Performance der bisherigen Lösung unter Windows/Linux mit procmon.exe sowie eigenem Win-API-Hooking-Tool und Python-Auswerte-Skripten. Export nach Excel in Excel-Pivot-Tabellen und Erstellung VBA-basierter komplexer Auswertungen.
6.) Wirtschaftlichkeitsberechnung der Migration in MS Excel per Formeln, VBA nach einem neu-entwickelten nicht-linearen Keep-/Replace-/Modernization-Szenarien-Verfahren, das sich auf ca. 20 nicht-lineare Kosten-Nutzen-Verläufe von ca. 50 Einflussgrößen stützt, die separat modelliert wurden.
Technisch:
Ad 3: Darin enthalten war auch eine kurze Betrachtung der besten Alternativlösungen (Flink, YARN, Storm + Trident, FastR, etc.) und Beschreibung von deren Vor- und Nachteilen.
Bzgl. IT-Sicherheit war neben dem Schutz gegen Hacker durch ein Bündel von Maßnahmen vor allem die korrekte Autorisierung und Zuordnung der Daten und Datenflüsse wichtig, was über Virtualisierung mit VMware oder Docker, Kubernetes, Rancher sowie über die Security-Toolkits Apache Sentry/Shiro, Knox, Falcon, Atlas erfolgte.
Die Migrationsstrategie basierte Bottom-Up auf verschiedenen Loop-Unrolling bzw. Schleifen-Parallelierungs-Strategie über Thread-Parallelisierung und das Herausziehen und Caching von Zwischenergebnissen, aufgeführt prototypisch am Beispiel der Delphi nach Scala Portierung für die Datenverarbeitung mit Spark.
Ad 5: Da procmon.exe aber für längere verteilte Läufe mit einigen GBs an Daten abstürzte: Entwicklung einer Zeus-Rootkit basierenden API-Hooking-Methode für Win-API-Methoden wie ReadFile, WriteFile, Process Start, Process Exit, Thread Start, Thread Exit, CreateFile, MapViewOfFile und direkte Auswertung nur der relevanten Daten. Daraus Ableitung der Optimierungspotentiale und des Skalierungsverhaltens.
Ad 6: Etablierte Verfahren der Wirtschaftlichkeitsberechnung wie Discounted Cashflow, ROI/ROSI (Return on [Security] Investment), NPV (Net Present Value), Internal/External Rate of Return (IRR/ERR) können nicht-lineare Verläufe der zugrundliegenden Faktoren nicht berücksichtigen. Hier ging es jedoch neben eher konstanten Werten wie Inflationsrate, Interner Zinsfuß, Prozent pro Jahr veränderter Quelltexte durch CRs(Change Requests), effektive Firmen-Steuer-Rate weitgehend um Konjunktur- und Technologie-Wellen-abhängige Kosten- und Risiko-Faktoren wie (auf engl.): Hardware Upgrade/Repair, Scaling / Bigger data amounts, Administration, Inflexibility (e.g. no virtualization, no mandator capability), Development of Extensions/CRs, Errors due to Knowledge/People Loss, Time to hire Contractors, Training Time for Team Members, CPU/IO Utilization Inefficiencies, End User waiting Time, Reputation cost due to old Technology, Immature Technology/Toolset, Old Technology/Toolset, Lack of Motivation due to old Technology / old Age of Employees, Not being able to take advantage of latest Tech's Features in CRs, Poor interoperability, Workarounds due to technological deficiencies, Sudden technological dead End and Cost of immediate Technology Switch, Revolutionary sudden change costs.
Hierzu habe ich sehr aufwändige nichtlineare Kosten-Nutzen-Analysen für Keep-/Replace-/Modernization-Szenarien erstellt nachdem ich den Stand der Wissenschaft recherchiert hatte. Kern war die Approximation/Schätzung der Eingangsfaktoren über Datenreihen und Interpolation mit kubischen Splines. Dann wurde die Zeit in Tages-/Monats-/Quartals-/Jahres-Schritten hochgezählt und die Eingangswerte entsprechend per Spline-Interpolation geschätzt, kumuliert, abgeschrieben, abgezinst und zwischen den Keep-/Replace-/Modernization-Szenarien verglichen – jeweils mit Best-, Medium- und Worst-Case-Analyse in VBA. Ich habe eine graphische interaktive Auswertung hierzu mit TreeView und Pivot-Tabellen erstellt. Es ist eine wissenschaftliche Publikation hierzu geplant, denn das Verfahren kann generell für die Wirtschaftlichkeitsberechnung solcher nicht-linearer Keep-/Replace-/Modernization-Szenarien verwendet werden, insbesondere für Big-Data-Projekte.
Projektende: GE entschied sich schließlich, die Alt-Architektur selbst evolutionär mit In-Memory-Processing Technologien weiterzuentwickeln und wegen der Amortisierung erst nach 5-7 Jahren in diesem Projekt noch nicht Big Data zu nutzen.
Cloudera Hadoop, mit Spark (SQL, DataFrames, MLlib) + Alluxio (ex: Tachyon), SMACK (Spark, Mesos, Akka, Cassandra und Kafka), Amazon AWS mit Spark, testweise Apache Flink, PuTTY, VMware, Ubuntu.

Eingesetzte Qualifikationen

Big Data, Apache Spark


Architekt Spark, Hive, Java, Scala
Deloitte Consulting mit Daimler Financial Services, Stuttgart
1/2016 – 9/2016 (9 Monate)
Banken
Tätigkeitszeitraum

1/2016 – 9/2016

Tätigkeitsbeschreibung

Fachlich: Erstellung einer Architektur für ein Corporate Memory als Digital Transformation / Digital eXperience (DX) Plattform, insbesondere die möglichst schnelle Erkennung von negativen Bonitätsveränderungen der eigenen Kreditnehmer bzw. Leasing-Kunden. D.h. wenn Kunden ihre Kredit- und Leasingraten kaum noch bezahlen können, soll dies möglichst schnell gemeldet werden, um als Bank darauf reagieren zu können.
Subtask 1: Erstellen eines Tools für die effiziente unbürokratische Anlage von durch Benutzer/Analysten zur Laufzeit neu eingefügten Datenbank-Strukturen (neue Tabellen und Attribute in Tabellen bzw. als Graph) für neue analytische Ansätze wie Vertrags-/Kundenanalyse, Credit Risk, Fraud Prevention/Fraud Detection und Machine Learning.
Subtask 2: Erstellen von Markt-Analysen und Zusammentragen von Best Practices für einen Corporate Memory.
Subtask 3: Konzeption/Implementierung von Bonitäts-Alerting Use Cases: a) Auskunftei wie Creditreform/Bürgel meldet Bonitätsreduktion, b) Leasing- oder Kreditrate konnte nicht abgebucht werden, c) geändertes Nutzungsverhalten des Autos (Connected Car Daten), die z.B. auf Bewerbungsgespräche schließen lassen (bei zuvor 9-to-5-Bürotag) oder langes Ausschlafen zuhause (Arbeitslosigkeits-Indikator), d) Geänderte Daten aus sozialen Netzwerken wie vermehrt Kontakte zu Festanstellungs-Recruitern, e) Infos aus der computerlinguistischen Analyse (Bedeutungsextraktion aus Texten/Dokumenten) von E-Mails, Verträgen, Memos, Handelsregistern und sonstigen textuellen Infos mit Apache Stanbol und Apache OpenNLP.
Subtask 4: Konzeption/Implementierung von Anti-Money Laundering (AML) und Anti-Fraud Use Cases auf Basis von Data Science Techniken sowie Computerlinguistik.
Technisch:
Ad 1) Konzeption eines effizienten Speicher-Formats für Graph-basierte Datenbank-Strukturen und auch Vererbung für die Nutzung mit Spark/Hive und Gegenüberstellung mit anderen Speicherungsstrukturen bzgl. Performance und Nutzbarkeit für verschiedene Use Cases. Dazu Implementierung verschiedener Use Cases mit Hive, Spark SQL, als Hive Makro und als Hive UDF mit Java/Scala und Messen/Vergleichen der Performance.
Ad 2) Marktanalyse und Proof-of-Concept (PoC) Konzeptionen/Entwicklungen zu
a) Hadoop-ETL-/BI-Technologien und Tool-Kombinationen, insbesondere Sqoop/JDBC, Falcon/Oozie, Hortonworks Dataflow, StreamSets, syncsort, Flume/Kafka/Flafka, Chukwa, Talend BD, Pentaho BD, IBM InfoSphere with IBM DataStage for BD, Trifacta, Informatica BD, Waterline Data Science, Rapid Miner, Intelligent Miner, Datameer, Paxata, platfora, Trillium, SploutSQL/Pangool, Apache Drill + Arrow, Cascading, Crunch, Twill, REEF, RHadoop, SAS, H2O, KNIME, Tableau, SAP Business Objects, Zoomdata,
b) Hadoop XML Verarbeitungs-Technologien und Tool-Kombinationen: Talend, Relational/ORC, JSON, Avro, Protobuf/Protostuff, XML->Relational, Graph-DB-Addon, Hive + ORC/Parquet, XML->HBase-Attribute, HyperJAXB, Relational DBs, HBase Phoenix, HAWQ, Simplified XML, Datanucleus, PostgreSQL.
c) Auswertung unterschiedlicher Persistenzbibliotheken hinsichtlich (De) Serialisierungsgeschwindigkeit, komprimierte Größe und wie effizient sie mit den verschiedenen Technologien integriert werden können: Avro, Profobuf, Protostuff, JSON mit Jackson & Alternativen, BSON, ...
d) Anbindungsmöglichkeiten (Spark-Driver, Storm-Driver, Flink-Driver, etc.) für Datenbanken/Caches/Query-Engines wie Hive, HBase, Cassandra, Cloudera Impala, Drill, Scylla DB, Aerospike, Alluxio, Druid, Splout SQL.
e) Daten-Bereinigung (Data Cleansing) und Performance der Hadoop-Tools speziell im Bereich Graph-basierter Daten: Spark mit GraphX, Storm-Graph mit Trident, Flink Graph (Gelly) sowie die relevantesten der zuvor analysierten weiteren Tools.
Ad 3) Konzeption und Implementierung der oben genannten Kern-Use Cases mit Spark & GraphX, Avro, Alluxio sowie Talend for Big Data sowie mit Hive-Graph-Addon als UDF-Implementierung (User-Defined Function).
Change Management/Versionierung mit Oracle Data Relationship Management (DRM).
DS Ansatz: Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Assoziationsanalyse, Maximum-Likelihood-Schätzer, ...
Hortonworks Hadoop 2.3, insbesondere Spark mit SQL + DataFrames, Spark-Hive-Integration, Hive mit Tez, HCatalog, Beeline Shell, PuTTY, VMware, Spring Boot, SAP FS-BA, SAP HANA SAP BO (Business Objects), Cloud Foundry, OpenStack, Ubuntu.

GfK – Gesellschaft für Konsumforschung, Nürnberg (Marktforschung)
09/2015 – 01/2016
Konzeption des pace Systems als zentrales IT-System der Marktforschung und Ablösung von StarTrack zur Erstellung von Panel-Produkten zunächst für die Distributor-Märkte, d.h. die weltweiten Groß- und Einzelhandelsmärkte mit Perspektive auf andere Märkte wie Optik-Produkte, Media, etc.
Technischer Architekt Production Lines
Cloudera Hadoop, Spark mit SQL + DataFrames, Streaming, MLlib Oryx 2, RDDs + Caching (RocksDB/Tachyon), HBase, Oozie, HDFS, Docker, git, gerrit, gradle, IntelliJ IDEA, Sparx Enterprise Architect, Konfig.-Serialisierung mit Jackson, Java-Entwicklung, Testing mit Mockito und MRUnit; UI: HTML5 + AngularJS + Kendo-Framework; einheitliches Logging-/Tracing-Framework in Java/JavaScript mit ELK-Stack (Elasticsearch, Logstash, Kibana) + Redis, ActiveMQ, Icinga System Management, BI mit Cognos + Exasol DB, Monitoring mit Grafana, BPM mit Axon Ivy, externe Services mit Jboss + MySQL + Hibernate, LDAP-Anbindung; Evaluierung von Alternativen mit Storm + Trident, Cascading auf Basis von Tez, Crunch + HBase, Pivotal-Tools Geode + HAWQ, Anbindung an SAP BO (Business Objects), Ubuntu.
Erstellung der Building Blocks (Komponenten) bis hin zu den Klassendiagrammen + Code-Generierung. Konzepte erstellt für bi-temporale Versionierung und Verarbeitung der Daten, Differenz-Verarbeitung, optimiertes In-Memory Processing/Caching/Minimierung von Save-Load-Zyklen, flexibles Management und Laufzeit-Erweiterbarkeit von dynamischen Typen und Klassen, Umgang mit Streaming-Daten, deren Vereinheitlichung/Prüfung/Korrektur/Anonymisierung, Speicherung und häufigen Aktualisierungen von Zuordnungen wie Key-Code-Assignments, Umgang mit komplexen n-dimensionalen Datenräumen, BI-Analysen (Star-/Snowflake-Schema) mit einer Vielzahl heterogener interner und externer Datenquellen und Referenz-Datenbanken. Berücksichtigung neuer Use Cases wie Werbe-Effizienz-Analyse, Trend- und Sale-Erkennung, Produkt-Lebenszyklus-Erkennung, Konsequenzen von Branding vs. White-Label-Verkauf, Anbindung von Data Science Schnittstellen/Tools (Mahout, WEKA/MOA, Geode mit MADlib + HAWQ, LIBSVM, Spark mit MLlib + Oryx 2). Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen zu erkennbaren Aufgabenstellungen. Konzeption von Logging, Monitoring und Reporting. Agiler Crystal Clear Prozess.
DS-Ansatz: Eine Mischung aus Hauptkomponentenanalyse, Nearest Neighbor Methoden, neuronale Netze, Zeitreihenanalyse, Anomalie-Erkennung, Apriori, Assoziationsanalyse, Maximum-Likelihood-Schätzer, ...
Projektende: Die Zielarchitektur wurde fertigkonzipiert. Das Requirements Engineering konnte – wegen fachlicher Komplexitäten und Abstimmungsprozessen - nicht genügend Input für die Weiterentwicklung bereitstellen und aufgrund stark rückläufiger Geschäftsentwicklung bei GfK wurde in 2015 weniger Budget für Externe in 2016 genehmigt.

Eingesetzte Qualifikationen

Big Data


Technischer Architekt Production Lines
GfK – Gesellschaft für Konsumforschung (Marktforsc, Nürnberg
9/2015 – 12/2015 (4 Monate)
Medienbranche
Tätigkeitszeitraum

9/2015 – 12/2015

Tätigkeitsbeschreibung

1. Erstellung der Building Blocks (Komponenten) bis hin zu den Klassendiagrammen + Code-Generierung
2. Konzepte erstellt für bitemporale Versionierung und Verarbeitung der Daten, Differenz-Verarbeitung, optimiertes In-Memory Processing/Caching/Minimierung von Save-Load-Zyklen, flexibles Management und Laufzeit-Erweiterbarkeit von dynamischen Typen und Klassen, Umgang mit Streaming-Daten, deren Vereinheitlichung/Prüfung/Korrektur/Anonymisierung, Speicherung und häufigen Aktualisierungen von Zuordnungen wie Key-Code-Assignments, Umgang mit komplexen n-dimensionalen Datenräumen,
3. BI-Analysen (Star-/Snowflake-Schema) mit einer Vielzahl heterogener interner und externer Datenquellen und Referenz-Datenbanken
4. Berücksichtigung neuer Use Cases wie Werbe-Effizienz-Analyse, Trend- und Sale-Erkennung, Produkt-Lebenszyklus-Erkennung, Konsequenzen von Branding vs. White-Label-Verkauf
5. Anbindung von Data Science Schnittstellen/Tools
6. Datenfluss-Analyse erstellt mit Empfehlung der verwendbaren Data Science Algorithmen.
IT-Umgebung: Cloudera Hadoop, Spark mit Streaming und Mllib, RDDs, Spark SQL + DataFrames + Caching, HBase, RocksDB, Oozie, Tachyon, HDFS, Docker, git, gerrit, gradle, IntelliJ IDEA, Sparx Enterprise Architect, Konfig.-Serialisierung mit Jackson, Java-Entwicklung, UI: HTML5 + AngularJS + Kendo-Framework; einheitliches Logging-/Tracing-Framework in Java/JavaScript mit ELK-Stack (Elasticsearch, Logstash, Kibana) + Redis, ActiveMQ, Icinga System Management, BI mit Cognos + Exasol DB, Monitoring mit Grafana, BPM mit Axon Ivy, externe Services mit Jboss + MySQL + Hibernate, LDAP-Anbindung; Evaluierung von Alternativen mit Storm + Trident, Cascading auf Basis von Tez, Crunch + HBase, Pivotal-Tools Geode + HAWQ.

Eingesetzte Qualifikationen

Datawarehouse / DWH


Software Architekt
KPT/CPT Krankenversicherung, Bern
7/2015 – 9/2015 (3 Monate)
Versicherungen
Tätigkeitszeitraum

7/2015 – 9/2015

Tätigkeitsbeschreibung

1. Business Process Optimization Konzept erstellt für den SW-Entwicklungsbereich.
2. Konzeption eines Tools zur stark automatisierten Verarbeitung von Kündigungen.
3. Einführung des Archiv-Systems T-Systems ImageMaster.
4. Modernisierung/Upgrade-Planung des OpenText Metastorm Business Process Management Systems (MBPM).
5. Verbesserung der IT-Sicherheit & des Datenschutzes bei VitaClic.ch, der elektronischen Patientenakte der KPT/CPT.
IT-Umgebung: MS Visual Studio 2013 mit C#, C++, ASP.NET, BizTalk, SharePoint, T-Systems ImageMaster, Visio, OpenText MBPM, Enterprise Architect, MS Office.

Eingesetzte Qualifikationen

Datenschutz, IT Sicherheit (allg.), Microsoft SharePoint Server, Enterprise Architect (EA), Visual Studio, C#, C++, C, ASP.NET, Prozessoptimierung, Management (allg.), Prozessmanagement, Archivierung, Public Relations, Forschung & Entwicklung (allg.)


Hadoop Architekt
Havas Media Gruppe (Siebtgrößte Medienagentur Euro, Frankfurt/Main
5/2015 – 7/2015 (3 Monate)
Medienbranche
Tätigkeitszeitraum

5/2015 – 7/2015

Tätigkeitsbeschreibung

Projektziele Big Data Projekt im Bereich zielgerichtete Online- und Mobile-Werbung durch Erstellung von Kundenprofilen. Konzeption einer Data Management Platform (DMP) in Kooperation mit TheADEX, Berlin. Datenaustausch mit diversen Medienpartnern und Zusammenführen dieser Daten zu Nutzerprofilen, Ableitung von Kunden-Interessen sowie Negativ-Merkmalen offline und in Echtzeit (Lambda-Architektur).

Aufgaben 1. Konzeption der Hadoop-Landschaft mit Anbindung an SAS incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle erstellt, Performance-Optimierung durch intelligente Verteilung, Java-Entwicklung.
2. Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung.

IT-Umgebung Entwicklung/Konzeption unter Windows, Produktionsumgebung unter Linux (Hadoop, Teradata, SAS).
Tools: Pig, Avro, Sqoop2, Mahout, Kafka, Spark / Spark Streaming, Cascading, Tez, KNIME, Weka, Oozie, Chukwa, Ganglia, Sigar, Zookeeper, ORC, Parquet.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Waikato Environment for Knowledge Analysis (Weka), KNIME, Weka (Waikato Environment for Knowledge Analysis), Teradata, IT Sicherheit (allg.), Mobile Entwicklung (allg.), XML, Java (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition), Medien (allg.), Forschung & Entwicklung (allg.)


Hadoop Architekt
Siemens Corporate Technology / Healthcare IT, München
12/2014 – 6/2015 (7 Monate)
High-Tech- und Elektroindustrie
Tätigkeitszeitraum

12/2014 – 6/2015

Tätigkeitsbeschreibung

Projektziele Big Data Projekt zu Predictive Maintenance von Medizin-Geräten, vor al-lem im Radiologie-/Röntgen-Bereich (CTs, MRTs, C-Bogen, Spect-CTs, etc.), d.h. es sollen Service-Techniker möglichst vor dem Versagen ei-ner Komponente diese austauschen, um maximale Verfügbarkeit für die Patienten sicherzustellen.

Aufgaben 1. Konzeption der Hadoop-Landschaft mit Anbindung an Teradata und SAS incl. Hive/HCatalog, YARN-Algorithmen, Datenmodelle portable umge-setzt mit DataNucleus, Performance-Optimierung durch intelligente Ver-teilung, Java-Entwicklung, Arbeiten mit ORC und Parquet-komprimierten Daten.
2. Sicherheitskonzept erstellt zur Absicherung der Big Data Systeme sowie für die Daten-Anonymisierung

IT-Umgebung Entwicklung/Konzeption unter Windows, Produktionsumgebung unter Linux (Hadoop, Teradata, SAS).
Tools: Pig, Avro, Teradata QueryGrid/TDCH, Sqoop1/2, Mahout, Kafka, Spark / Spark Streaming, Cascading, Tez, KNIME, Weka, Oozie, Chukwa, Ganglia, Sigar, Zookeeper, ORC, Parquet.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

KNIME, Weka (Waikato Environment for Knowledge Analysis), Teradata, IT Sicherheit (allg.), XML, C, C#, C++, Java (allg.), IT-Techniker (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition)


Sicherheits-Architekt und Entwickler
Bio-Identification Firmen Dermalog/FingerPayment,, Hamburg
10/2014 – 12/2014 (3 Monate)
Banken
Tätigkeitszeitraum

10/2014 – 12/2014

Tätigkeitsbeschreibung

Projektziele Erstellen eines Sicherheitskonzepts für die Nutzung von Fingerabdruck-Scannern für Bank-Automaten (ATM) und Mobile Banking, Umsetzung von Kernelementen dieses Konzepts im Rahmen eines Prototyps für Kunden-Showcases.

Aufgaben 1. Erstellen eines nach Wirtschaftlichkeit der Maßnahmen priorisierten Sicherheitskonzepts basierend auf der eigenen statistischen Sicherheits-Datenbank zu Gefährdungen/Gegenmaßnahmen (nach BSI/Common Criteria), erweitert um Gefährdungen/Gegenmaßnahmen im Bank und Fingerabdruck-Sensor-Bereich, insbesondere nach ISO 27745 2011 und ISO 19092.
2. Implementierung des Showcases für sichere Übertragung (ATM/Mobile Banking) mit Schlüsselverteilung, sicherem Schlüsselspeicher, PKI, RSA / IDEA, AES-GCM, DiffieHellman / FHMQV-C, SHA-2 / SHA-3, scrypt / bcrypt / PBKDF2.
3. Erweiterung auf Mobile Payment / Smartcards: Mifare Classic/Mobile, Global Platform (GP), Association Française du Sans Contact Mobile (AFSCM), Near Field Communication (NFC).
4. Demonstration der Sicherheit mit WireShark sowie eigenen Plugins, die verschiedene Datenformate im Datenstrom herauslesen und darstellen können.
5. Dokumentation und Vorbereitung/Planung der Weiterentwicklungen auf Software- und Hardware-Seite (Tamper Proofing, Integration in Bank-IT-Landschaften, etc.).

IT-Umgebung Windows/Embedded Linux.
Tools: MS Visual Studio und C++, boost Library, Krypto-Algorithmen: PKI, RSA / IDEA, AES-GCM, DiffieHellman / FHMQV-C, SHA-2 / SHA-3, scrypt / bcrypt / PBKDF2.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Hardware Entwicklung, BSI-Standards, IT Sicherheit (allg.), Betriebssysteme (allg.), Mobile Entwicklung (allg.), Visual Studio, XML, C, C#, C++, Telekommunikation / Netzwerke (allg.), ATM, Internet / Intranet, HTTP, Webservices


Konzeption der neuen Werbesteuerung, Verbesserung der bisherigen Werbe-steuerung
Chip Digital GmbH (Teil der Hubert Burda Media Gru, München
9/2014 – 10/2014 (2 Monate)
Medienbranche
Tätigkeitszeitraum

9/2014 – 10/2014

Tätigkeitsbeschreibung

Projektziele Weiterentwicklung und teilweise Neukonzeption einer Online-Werbesteuerung, d.h. jedem Besucher der Webseite möglichst viel passende Werbung einzublenden und dabei eine möglichst hohe Klickrate zu erzielen (Online-Werbung, Affiliate Marketing, Profil- und Interessenanalyse).

Aufgaben 1. Erfassen der Kundenanforderungen, der diversen technischen Browser-Features (Flash, Adblocker, HTML5, etc), Ansätze der Kundenprofilierung und Auswertung der Klickraten.
2. Daraus aufbauend Erstellen eines Konzeptes für eine Werbesteuerung abhängig von Visitor-Interessen-/-Profilen.
3. Test-Automationskonzept mit JavaScript, Scala und Docker Containern.

IT-Umgebung Linux, Entwicklung unter Windows.
Tools: JavaScript, node.js, bower, grunt, depend, mustache, angular.js, jquery, Google Analytics, zanox, Scala, PureScript, etc.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Linux (Kernel), Linux Entwicklung, XML, Scala, Java (allg.), Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition), AngularJS, jQuery, JavaScript, ActionScript / Flash, Forschung & Entwicklung (allg.)


Konzeption der Big Data (Hadoop/IBM Big Insights) und der SAS Migration auf Eben
Allianz Versicherung, eine der größten Versicherun, München
7/2014 – 9/2014 (3 Monate)
Versicherungen
Tätigkeitszeitraum

7/2014 – 9/2014

Tätigkeitsbeschreibung

Projektziele Allianz Data Center Consolidation / Data Center Migration: Viele verteilte und oft kleine Data Centers sollen in weltweit nur 4 große und hochver-fügbare Data Centers migriert werden.

Aufgaben 1. Erfassen der Kundenanforderungen, Durchführung von Kundenworkshops.
2. Technische Analyse der zu migrierenden Systeme (ca. 6000 Systeme) auf Dokumentationslücken, Migrierbarkeit und mögliche Migrationsprobleme.
3. Erstellen der detaillierten technischen Migrationspläne (Word-Dokumente) unter Berücksichtigung der jeweiligen Best Practices in der Migration und im Betrieb von SAS und IBM Big Insights / Hadoop.
4. Planung des Einsatzes zusätzlicher IBM Tools (Blue Wash)
5. Dokumentation und Weitergabe des Wissens.

IT-Umgebung Tools: IBM-Produktpalette unter Linux/Windows/zOS: IBM Tivoli mit TADDM (Auto-Discovery), Security/IAM/ISMS (IBM Security (ex: Tivoli Federated) Identity Manager / Access Manager (ISIM/ISAM, ex: ITIM/ITAM)), IBM QRadar SIEM, IBM Appscan, IBM Integration Bus, IBM Migrationstools, VMware, IBM Integration Broker (IIB, früher als WebSphere Message Broker bekannt), IBM SPSS.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Access, ISAM, BSI-Standards, IT Sicherheit (allg.), z/OS, WebSphere, IBM WebSphere Application Server (WAS), IBM Tivoli Software, XML, Migration, Internet / Intranet, HTTP, Webservices, XSLT (XSL Transformation), XSD (XML Schema Definition)


Chief-API-Architect mit dem Schwerpunkt auf API-Funktionalität (Application Prog
Delphi, einer der größten Automobil-Zulieferer der, Großraum Hannover, Niederlande, USA, UK und Homeof
11/2013 – 6/2014 (8 Monate)
Automobilindustrie
Tätigkeitszeitraum

11/2013 – 6/2014

Tätigkeitsbeschreibung

Projektziele: Neuentwicklung eines MS Azure basierten internen Backend API für RESTful Webservices für das „Connected Car“ Projekt im After-Sales-Markt für europäische Märkte basierend auf einer bestehenden Version aus den USA, der zugehörigen iOS/Android App Backends sowie der APIs der On-Board-Units für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.
Fachlich:
1. Entwicklung von Geräte-APIs der On-Board-Units (OBU) unter Nutzung des OBD-II-Protokolls für die Fahrzeuge (Pkw, Lkw) und die Schnittstellen mit den Mobilfunkanbietern.
2. Architektur von MS Azure basierten internen Backend APIs für RESTful Webservices für europäische Märkte basierend auf einer bestehenden Version aus den USA.
3. Architektur von MS Azure basierten externen Cloud-Backend APIs für iOS/Android App Entwicklung für beliebige App Entwickler.
4. Architektur von MS Azure basierten externen Backend APIs für den Daten- und Kommandofluss sowie diverse Mehrwertfunktionen zwischen OBUs und Cloud-Backend (Car-to-Cloud-Kommunikation), Kompatibilität zu den eCall-Standards, Anbindung von Vodafone’s M2M-Plattform z.B. für das Durchleiten von SMS sowie Billing-Funktionalität.
5. Ausarbeitung der Architekturen für die Use Cases: Eco Driving, Car Health (Trouble Diagnostics) mit der Einholung von Reparatur-Angeboten in Echtzeit, Predictive Maintenance/Planen von Wartungsterminen, Erkennen von Diebstahl, Driving Log (Fahrtenbuch), Verkehrs- und Wettermeldungen bzw. Warnungen dazu, Behaviour-based Insurance, Augmented Reality mit virtuellen Stadtführungen bzw. intelligenteren Mehrwert-Navigationsfunktionen bis hin zur Parkplatzsuche und -Reservierung, Benzinpreis-Infos/nächste Tankstellen, Personal Radio, Heatmaps/Hotspots zu Events/Lokalitäten, Teilen von Daten auf unterschiedlichen Geräten, sonstige Fahrerassistenzsysteme, Personalisierung all dieser Dienste nach Nutzerinteressen und Nutzung für After-Sales-Services sowie weiterer ähnlicher Funktionen wie angeboten durch Apple CarPlay, Google Android Open Automotive Alliance (OOA), Windows Embedded Automotive, Qualcomm Adreno SDK, VW Car-Net, mercedes.me, GM Onstar, Automatic Link, MirrorLink, GENIVI Alliance.
6. Ausarbeitung der Sicherheitskriterien und Vorbereitung der Safe Harbour Datensicherheits-Zertifizierung.
Technisch:
1. Applikations- und Netzwerkarchitektur mit Windows Servern, Biztalk, sowie .NET Messaging Anwendungen (MSMQ), Firmware-OTA (FOTA). Erstellung von API-Konzept-Dokumenten und UML-Diagrammen zu oben genannten APIs. Implementierung durch Lieferanten: Lieferantenmanagement und Betreuung für Fragen/Testmanagement.
2. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene und Betriebssystems-Ebene nach statistischen Gewichtungen. Damit konnten die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert werden innerhalb eines gegebenen Budgets.
3. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
4. Technische Begleitung von Referenzprojekten mit Kunden (ADAC, niederländischer ANWB, Vodafone, Telefonica/O2/EPlus) als Architekt und später als technischer Projektmanager/Testmanager. Nutzung der Qualcomm Tools QxDM (eXtensible Diagnostics Monitor) und QPST (für den UMTS Chipset) sowie PuTTY & WinSCP.
5. Über die eigenen und die Netzwerk-Segmente der Partner hinweg Abgleich von Kern-Nutzer-Daten sowie domänen-übergreifende Autorisierung mit OAuth.
IT-Umgebung: MS Azure (Cloud), Win64, C#, Microsoft .NET Framework 4.5.
Tools: Microsoft Biztalk, MS Visio, MS Office, Sparx Enterprise Architect, MS Visual Studio, Team Foundation Server (TFS), Qualcomm Tools QxDM (eXtensible Diagnostics Monitor) und Qualcomm QPST.
Protokolle/Formate: RESTful Webservices, WADL, http(S), OBD-II, CAN-Bus, Qualcomm-Tools (IoE – Internet of Everything, Protocol Analyzer), aber auch teilweise XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: MS RegExp.

Eingesetzte Qualifikationen

Microsoft SQL-Server (MS SQL), Microsoft Azure


IT-Architekt mit dem Schwerpunkt auf IT-Sicherheit, Kryptographie IT-Architekt m
Gematik, Regierungsprojekt / Gesundheitswesen, Berlin und Homeoffice, DE
8/2013 – 10/2013 (3 Monate)
Gesundheitswesen
Tätigkeitszeitraum

8/2013 – 10/2013

Tätigkeitsbeschreibung

Projektziel: Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.
Fachlich:
1. Konzeption einer Certificate Authority (CA) sowie einer PKI (Public Key Infrastruktur) zu Testzwecken und mit Unterstützung für Testautomatisierung.
Technisch:
1. Requirements Engineering für Certificate Authorities (CA)/ Public Key Infrastructures (PKI).
2. Erstellung und Präsentation einer Entscheidungsvorlage bzgl. teilweisem/vollständigem Make-or-Buy.
3. Architektur der CA/PKI im Rahmen der Make-Lösung unter besonderer Berücksichtigung von Test-Anforderungen zur Erzeugung diverser Klassen von Fehlern, Echtzeitfähigkeit, RESTful WS Schnittstelle.
4. Konzeption und Implementierung fehlender Features im Bereich Elliptical Curve Cryptography (ECC), Card Verifiable Certificates (CVC) sowie Gematik-spezifischer Standards für Smartcards/eGK sowie die Telematik-Infrastruktur (TI) für die gewählte EJBCA. Implementierung von Features wie sie von der Nexus CA bekannt sind und bislang genutzt wurden.
5. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
6. Spezielle Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
IT-Umgebung: Win32/Linux, Java, JBoss AS, Apache CXF WebServices.
Tools: Eclipse, Subversion/SVN, JBoss, Jama Contour (Requirements Engineering).
Protokolle/Formate: JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: RegExp, JAX-WS, JAXB, Apache CXF, AXIS2, slf4j/logback.


Architekt und teilweise Entwickler
BG Phoenics (Berufs-Genossenschaften- (BG)-Tochter, Hannover, DE und Homeoffice
2/2013 – 8/2013 (7 Monate)
Versicherungen
Tätigkeitszeitraum

2/2013 – 8/2013

Tätigkeitsbeschreibung

Projektziel: Erstellung einer neuen Architektur für ein flexibles Versions- und Änderungsmanagement. Konzeption und teilweise Umsetzung diverser Erweiterungen eines Eclipse-RCP- und LibreOffice-basierten Dokumenten- und Text-Baustein-Verwaltungssystems.
Fachlich:
Konzeption einer neuen zentralen Business-Logik- und Entity-Klassen-Schicht zum flexibleren Management von Änderungen, Versionen, Baselines, Releases sowie entsprechender Migrationsstrategien. Verbesserung der IT-Sicherheit sowie konzeptionelle Umsetzung diverser Change Requests.
Hintergrund: Die BG Phoenics ist zentraler IT-Dienstleister der Dt. Berufsgenossenschaften und deren 100%ige Tochter. Die weiterentwickelte Software dient hauptsächlich der komfortablen graphischen Verwaltung von juristisch korrekt formulierten Textbausteinen, die dann über viele Hierarchie- und Wiederverwendungsebenen zu Musterbriefen zusammengebaut werden. So wird sichergestellt, dass Sachbearbeiter keine großen Schulungen und juristische Kompetenzen benötigen, um dennoch rechtssichere Briefe ohne nennenswerte nachgelagerte Prüf- oder Korrekturaufwände erstellen zu können. Da es häufig um sechsstellige Summen im Zusammenhang mit Betriebsunfällen und Berufsunfähigkeit geht, was später nicht selten vor Gericht verhandelt wird, ist entsprechende Rechtssicherheit bei geringen Verwaltungskosten sehr wichtig.
Technisch:
1. Konzeption der Architektur mit dem MID Innovator 2012, LibreOffice Designer sowie bouml - Architekturbeschreibung mit MS Word bzw. LibreOffice.
2. Umsetzung eines Proof-of-Concept (POC) zur Umstellung der Office-Integration von OpenOffice 3.1 mit NOA-Library (Nice Office Access) auf LibreOffice 4.1 mit UNO-Library (Unified Network Objects, eine CORBA-ähnliche Library mit IDL-Syntax). OpenOffice bzw. später LibreOffice waren auch die Editoren des Dokumenten- und Text-Baustein-Verwaltungssystems.
3. Umstellung vom ins Produkt integrierten alten OpenOffice 3.1 auf LibreOffice 4.1 entsprechend des POC.
4. Automatisiertes Erzeugen von Logging- und Trace-Statements mittels eines selbstentwickelten Tools.
5. Verbesserung der IT-Sicherheit, der Speicherungs-, Archivierungs- und Migrationsmechanismen sowie der Erkennung von Inkonsistenzen und Verbesserung der Usability.

IT-Umgebung Eclipse RCP, Win32, Java/JEE, Remote Desktop, MS SQL Server, (Apache) Open Office, LibreOffice.
Tools: Eclipse, IBM Clearcase, Subversion/SVN, Maven, Maven Tycho (RCP-Integration), Jenkins, Sonar, MS Visio, Bouml.
Protokolle/Formate: JAX-RS, JAX-WS, JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards.
Libraries/Frameworks: Spring 3.x, Hibernate, slf4j/log4j, Tomcat, Dojo.


Integrations-Architekt
European Patent Office (EPO), Den Haag, NL
9/2012 – 12/2012 (4 Monate)
Öffentliche Verwaltung
Tätigkeitszeitraum

9/2012 – 12/2012

Tätigkeitsbeschreibung

Integrations-Architektur zur Ablösung von 90% der IT-Systeme durch ein modernes Fall-Management-System mit DMS zur Bearbeitung der Patentanträge.

Fachlich:
Konzeption von Migrationsstrategien zur Einführung eines neuen Fall-Management-Systems (Case Management System) für den Patent-Lebenszyklus, Analyse der Vor- und Nachteile schwer- und leichtgewichtiger Java Enterprise Architekturen (SOA/ESB und REST) und Definition von Standards, Tools/Komponenten und Methodiken zur Ausgestaltung der Nutzung dieser Technologien.
Konzeption einer Zwischenschicht (Mediation Layer) zur Entkopplung der Legacy-Systeme gegenüber dem Case Management System und zur Durchführung der Migration von 90% der Legacy-System-Funktionalität hin zu Komponenten im Case Management System.

Technisch:
1. Aufnahme von Anforderungen (Requirements Engineering) und darauf basierend Evaluation von Technologie-Alternativen, insbesondere REST vs. SOA/ESB (MuleSoft, Apache ServiceMix), API Management Systeme (Apigrove, Vordel, Layer7, Apigee), Java Libraries (Spring REST, RESTlet, RESTEasy, Jettison, Apache CXF).
2. Erstellung eines RESTful Coding Styleguides mit Schwerpunkt auf Spring REST und JBoss RESTEasy.
3. Erstellung einer SOA-Strategie basierend auf TOGAF, einer REST-Strategie, von Konzepten & Design Guidelines für Mediation Layer, Enterprise-Architektur und Migration.
4. Basierend auf einer selbst erstellten Typologie der bestehenden Systeme, Konzeption einer Master-Architektur und einer Migrationsstrategie je Typus.
5. Aufwandsschätzung nach COCOMO2.
6. Konzeption eines Code-Analyse- und Code-Generierungs-Ansatzes zum Einlesen bestehender Java und COBOL Interfaces und zur Generierung von Java RESTful/SOA Web Services bzw. von Facaden daraus. Konzept zur graphischen Erstellung/Generierung von Adapter-Klassen über die Modellierung mit TalenD Open Studio. Integration von Facade und Adapter-Klassen in Wrapper-Libraries und Nutzung zur Entkopplung, Datenanalyse (Flüsse, Formate) und Systemmigration.
7. Konzeption der verlustfreien XML JSON Konvertierung und Integration in JEE-Apps über Annotations mit selbstentwickeltem Order-Maintaining Badgerfish-Algorithmus.
8. Konzeption von REST HATEOAS über standardisierte Content Rel(ations) sowie das Atom Publishing Format.
9. Erstellung eines Versioning-Konzeptes mit maximaler Robustheit gegen Änderungen in APIs: Neue Annotationen wie @LastSemanticChangeInVersion und @Since konzipiert und integriert in Maven Dependency Checking für nur inhaltliche/semantische (und sonst nicht erkennbare Änderungen) und offensichtliche Änderungen, deren Einführungsversion festgehalten wird. Verwendung von XPath und JSON-Path-basierten automatisierten Marshallern mit Spring 3.x zur Zuweisung von REST-Input-Parametern an Java-Methoden-Parameter.
10. Sicherheits- und Verfügbarkeits-Konzeption, IT-Security mit OAuth 1.0a/2.0 (alternativ teilweise SAML 2.0) sowie SPNEGO/Kerberos als bestehendem Mechanismus, Content Security, Logging/Tracing/Monitoring, Governance, Code Injection Checking Library mit BeanValidation Interface, ESAPI, Antisamy, CSRFGuard, AppSensor und Embedded SQL (ESQL).
11. Erstellen eines Logging/Monitoring/Tracing-Konzeptes basierend auf einem zweigleisigen Mechanismus über Java Instrumentation oder alternativ Code Generierung, die die bedarfsorientierte effiziente DB-/Text-Ausgabe, Analyse und visuelle Darstellung (Sequenz-Diagramme) aller Parameter aller Methoden mit allen ihren Embedded Types ermöglicht. In Kombination mit obigen Sicherheitstools sind so auch alle Teile eines übergeordneten verteilten Code Injection Angriffs erkennbar, auch wenn gegen einen einzelnen RESTful Service nur Fragmente eines Angriffs eingesetzt werden. Weiterhin lassen sich so Root Causes (ursprüngliche Ursachen) von Fehlern automatisiert erkennen und missbräuchliche Nutzungen (z.B. Massen-Download von verteilten IP-Adressbereichen) erkennen.
12. Identifikation und Vorschlagen von Komponenten/Techniken zur Umsetzung von Anforderungen an RESTful Systeme, die wegen der REST-Einschränkungen nicht direkt umsetzbar sind: Transaktionen, asynchrones/Event-basiertes Messaging, Routing, komplexe Content Transformationen, Format/Content/Protocol Mediation, gleiche und detaillierte Fehler-Behandlung, Unterstützung von Nicht-HTTP-Protokollen, Auditing/Monitoring/Logging/Tracing/Analytics, sicheres Schlüssel-/Token Management & Verteilung, komplexe per Regeln beschriebene Prozesse mit asynchronem Fremd-Input, komplette Testbarkeit mit Time-Travelling, Standard Kommunikations-Patterns (wie fire-and-forget, publish-subscribe,...), Batch Jobs / Scheduled Tasks mit Ausführungs-Kontrolle, ReliableMessaging.


IT-Architekt
Gematik (Regierungsprojekt im Gesundheitswesen), Berlin
4/2012 – 8/2012 (5 Monate)
Gesundheitswesen
Tätigkeitszeitraum

4/2012 – 8/2012

Tätigkeitsbeschreibung

Spezifikation der IT-Landschaft für Arzt-Praxen, Krankenhäuser und zentrale Telematik-Infrastruktur (TI) für die elektronische Gesundheitskarte (eGK) mit Schwerpunkt auf IT-Sicherheit.

Fachlich:
1. Konzeption der Konnektor-Funktionalität auf Anwendungs-Ebene: Verschlüsseln, Signieren, Hashen, Verifizieren für die Datenformate binär, PDF/A, XML, S/MIME, Text unter Anbindung von Kartenterminals, Smartcards.
2. Zuarbeit bzgl. Sicherheit zur Konnektor-Funktionalität auf Netzwerk-Ebene.
3. Konzeption der IT-Sicherheit (Gefährdungen/Gegenmaßnahmen) und Sicherheits-Test-Konzeption, Vorbereitung der Zertifizierung nach BSI Grundschutz mit dem BSI.
Technisch:
1. Aus-Spezifikation der Nutz- und Kontroll-Datenflüsse und Datenformate bis ins letzte Bit für alle denkbaren Krypto-Operationen: Verschlüsseln, Signieren, Hashen, Verifizieren, Anbindung an PKI unter Nutzung der existierenden Standards: PKCS#7, CMS, XaDES, XML-DSig, S/MIME, PC/SC, PDF-Crypt, PDF-Sign, Signaturgesetz und Signaturverordnung, GnuPG/GPG.
2. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungsszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM).
3. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
4. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.


Sicherheits-Architekt
Deutsche Post/DHL, Darmstadt/Bonn/Homeoffice
3/2012 – 8/2012 (6 Monate)
Logistikdienstleister
Tätigkeitszeitraum

3/2012 – 8/2012

Tätigkeitsbeschreibung

Erstellung einer Sicherheitsarchitektur für das Projekt PostPaket 2012, Schwerpunkt Handscanner-Integration (HASCI) vom Zusteller beim Kunden bis hin zur Backend-IT, Umsystemen und der Paket-Verfolgung.

Fachlich:
Erstellen von sicherheits-relevanten Vorschlägen für die Architektur des Systems sowie Erstellung des Sicherheitskonzeptes unter Berücksichtigung zahlreicher Konzern- und Sicherheitsstandards. Durchführen von Sicherheits-Workshops und Beantwortung von sicherheitsrelevanten Fragen für alle Ansprechpartner im Projekt.

Technisch:
1. Sicherheits-Konzeption nach Common Criteria/BSI Grundschutz nach Bedrohungsszenarien/Bedrohungskatalogen und deren Gegenmaßnahmen/ Sicherheits-Richtlinien auf Applikations-Ebene (Informationssicherheits-Management-Systeme (ISMS), AntiVirus, AntiSpam, Content Verification mit Internet Connection Adaptation Protocol (ICAP) XML-Security (XSpRES), Canonical XML) und Netzwerk-Ebene (diverse Netzwerkprotokolle, Firewall-/VPN-Technologien, IDS/IPS/WAF Systeme und Virtualisierung, WLAN- und Mobile-Sicherheit). Nutzung von PKI mit X.509 und LDAP/Active Directory sowie Identity and Access Management (IAM), Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria/BSI GS und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten. Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet.
2. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact,, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity.
3. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.


Enterprise Architect und Solution Designer
Llyods Banking Group: Versicherungs-Zweig: Clerica, Heidelberg, Frankfurt/Main (DE), Bristol (EN), Lux
4/2011 – 3/2012 (1 Jahr)
Versicherungen
Tätigkeitszeitraum

4/2011 – 3/2012

Tätigkeitsbeschreibung

Modernisierung der Unternehmens-IT, Integration der verschiedenen IT-Welten aus der Zeit vor der Fusion, die Umsetzung gesetzlich geforderter Änderungen

1. Hauptaufgaben: Enterprise-/System-Architekt/Solution Designer für Verbesserungen und neue Lösungen, z. B. das Schreiben von Architekturen für Ausschreibungen/Lieferanten-Vorgaben (Outline Solution Design, OSD), die bei Lieferanten verfeinert werden. Wo möglich, war die Implementierung der Arbeitspakete ausgelagert. Ein angepasster PRINCE2-Standard wurde für das Projektmanagement eingesetzt.
2. Dokumentation der bestehenden Enterprise-Architektur per UML und anschaulicher Beschreibungen. Konzeption eines eTOM-Modells (electronic Target Operating Model) unter Berücksichtigung von TOGAF. Erstellung und Erweiterung von Datenmodellen mit Sparx Enterprise Architect. Integra-tion/Anpassung von SOX-und GxP-konformen Prozessmodellierungen mit BizAgi. Erarbeitung eines Corporate Dokumenten-Management-Prozesses und eines Architektur-Nutzungs- und Architektur-Update-Prozesses. Recherche und Dokumentation von Anforderungen in Bezug auf die IT-Systeme von Banken und Versicherungen, z. B. von MA Risk-VA, SOX (Sarbanes Oxley), GxP. Auf dieser Grundlage Erstellung von Vorschläge für die LBG-Architektur. Evaluation / Review von Architekturen sowie von Vorschlägen von Lieferanten.
3. Business Prozess-Analyse und Prozess-Optimierung mit dem Ziel der Kostenersparnis: Alle Systeme (HW/SW), Kontroll- und Datenflüsse, die relevant für geplante Änderungen waren, wurden auch auf Optimierungspotential betrachtet und Optimierungen konzipiert, z.B. anhand der "IT Cost Saving" Checklisten der Universitäten Cornell und Princeton. Häufige Maßnahmen: Virtualisierung oder Ablösung von Systemen, Vereinheitlichungen (HW/SW), Verfolgen des Flusses der Papier-Dokumente und deren Automatisierung z.B. durch DMS/Collaborative Editing/Workflow Management, Streamlining von Prozessen durch Automatisieren/Vereinfachen von Prozessketten oder die Delegation höherer Entscheidungskompetenz an Mitarbeiter. Technisch konnte dies z.B. häufig über den Einsatz von Echtzeit-Messaging (statt Batch-Jobs), Automatisierung, Konverter-Tools/Checker-Tools, De-Scoping sowie Offshoring stattfinden.
4. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes für den Desaster-Fall: Konzeption von Redundanz-Mechanismen mit Abhängigkeitsdiagrammen und einen physischen Disaster Recovery-Standort, also mit insgesamt 2 Standorten, mehreren Clustern, Failover-Mechanismen, VPNs, Zoning-Konzept (Access / Service / Backend / Admin-Zonen), WAF (Web Application Firewalls), IPS (Intrusion Prevention Systeme), selektive Fehlererkennung und Recovery-Mechanismen.
5. Konzeption / Transition-Management für ein Corporate eLearning-System basierend auf ILIAS 4.1.5 bzw. dem SCORM-2004-Format, Sicherheits-Bewertung von ILIAS und Argumentation der Sicherheit bzgl. der Konzern-IT.
6. Konzeption von / Transition-Management für ein firmeneigenes Intranet auf Basis von SharePoint 2010 Enterprise Edition. Verwenden von SharePoint, Integration von Mitarbeiter-/Gruppen-Suche, Newsletter, Interner Marktplatz, geschützter Bereich für Manager, Buchung von Geschäftsreisen, Taxis, etc. Extraktion von Daten aus dem alten Intranet und Beratung bei der Konvertierung in die SharePoint-Formate.
7. Konzeption des "Annual Statements Projekts" (jährliche Auskunft über das Versicherungskonto), das eine aktualisierte Version des Kunden-Reportings in Bezug auf die Werte ihrer Verträge, die Performance ihrer Fonds, die zu erwartenden Leistungen, etc. liefert.
8. Konzeption und grundlegende Umsetzung einer Quellcode-Analyse-Lösung mit spezieller Unterstützung für die Analyse von SQL / DDL, Perl, Java, C # und Cold Fusion Quelltexten zu UML-Klassen-und UML-Sequenzdiagrammen (als Teil der Gesamt-Architektur-Dokumentation).
9. Konzeption des Kommissions-Projektes, um die Provisionen für unabhängige Makler zu berechnen in einer neuen und optimierten Art und Weise mit SAP-CD (collec-tion/disbursement), Oracle GL (Hauptbuch), Life/400 und COR & FJA LF3/LF4 sowie einem Partner-Management-System.
10. Konzeption eines SAP-Upgrade-Projekts und Diskussion / Ausarbeitung mit ConVista (SAP Beratungsfirma) von 4.6 auf 6.0.4 bezüglich hauptsächlich FI/CO, CD mit SEPA und Riester-Rente Anpassungen.
11. Konzeption des SEPA/EBICS/ISO20022 Zahlungs-Projektes, um die neuen XML-basierten Zahlungen in 27 europäischen Ländern zu unterstützen mit IBAN / BIC bzgl. SDD (SEPA-Lastschriften; Direct Debit), SCT (SEPA Credit Transfer), EBICS (CCC, CCT, CDD, CDB), ETEBAC (Frankreich), DTA als grundlegende Format und erweitert um IBANs (Schweiz), MT940, CSV-, R-Transaktionen (Rückruf, Rücküberweisung, Absagen, Erstattungen, Ablehnungen, Retouren / revocations, reversals, rejections, refunds, refusals, returns) Management, die Fehlerbehandlung und Mandats-Management (Nachfolger Einzugsermächtigungen). Voraussetzung war der SAP-Releasewechsel und die Integration mit Oracle-GL (General Ledger, Hauptbuch), Life/400 und COR & FJA LF3/LF4/ZUL/TaxConnect.
12. Konzeption + Umsetzung aktualisierter/erweiterter Berechnungen in SQL unter Einbeziehung von Änderungen/Anpassungen und Interpretationen bzgl. der österreichischen Versicherungssteuer für die Systeme Life/400 und die Tarifberechnungs-Engine (Rechen-Kern + BIPRO Web-Services / Web-Frontend). Besondere Herausforderungen waren eine kurze gesetzliche Zeitspanne für viele Steuer-Varianten und steuerlichen Modelle für verschiedene flexible Versicherungsbedingungen, vielleicht die Flexibelsten Bedingungen auf dem österreichischen Markt (z. B. hinsichtlich der Aussetzung von Zahlungen, Zuzahlungen, Entnahmen und anderer Vertragsänderungen).
13. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Addon erlaubt links das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden.
14. Konzeption einer SIP-/VoIP-Callcenter-Integration mit Asterisk / Sipgate und einer Homeoffice-Integration mit DD-WRT/OpenWRT und Asterisk. Konzeption / Programmierung gegen eine TAPI-Schnittstelle in C + + / C # unter Verwendung von SIP TAPI / AstTapi. Evaluierung von Yate, Asterisk, Sipek2, Twinkle, Starface, Si-phon, PJSIP, JSIP, Jain, SIP.NET, Konnectic SIP. Umsetzung der RFCs 3261, 3265, 3515, 3665, 3725, 3853, 4235, 4320, 4916 direkt oder durch Nutzung von Bibliotheken z. B. für TAPI. Telefonate können vom PC/Laptop aus gestartet werden und werden kostengünstig über SIP abgewickelt und direkt im web-basierten CRM-System zugeordnet, auch wenn sie direkt über das Telefon gestartet wurden oder es sich um eingehende Anrufe handelt. So werden 100% der Kundenkontakte erfasst.
15. Konzeption / Erstellung eines Prototyps zur interaktiven Eingabe von Zahlungen in Online-Banking-Schnittstellen (im Konzept ähnlich sofortueberweisung.de) zum Einrichten von klassischen oder SEPA-Zahlungen für einen Vertrag für die einfache und interaktive Auflösung von R-Transaktionen. Dies war Teil der schlanken Prozess-Management-Initiative. Die JEE / Grails App verwendet HBCI4Java, Web Mining/Scraping und Groovy / Grails mit jQuery, YUI, Hibernate, Captcha, Spring Security.
16. Co-Konzeption des italienischen Anti-Money-Laundering (AML) Projekts mit NameSafe, KYC (Know Your Customer), WinTar und Listen von PEPs (politisch exponierten Personen), Blacklists und maßgeschneiderten Regelsätzen.
17. Beurteilung / Co-Konzeption / Erweiterung für eine Dynamic Hybrid Versicherungs-Vertrags-Line für alle drei Stufen (Basisrente / Rürup, Riester-Rente, private Rentenversicherung). Dies bedeutet, dass Garantien für Mindestleistungen bzw. den Grad des Erhalts der Kunden-Einlage gegeben werden, aber zusätzlich eine wesentliche Beteiligung an steigenden Aktienkursen vereinbart wird: Sicherheit für investiertes Geld kombiniert mit der Teilnahme an steigenden Börsentrends (bessere Leistung).
18. Als Testmanager/Projektmanager Erstellung eines konzernweiten Last- und Performance-Testing-Konzeptes: Evaluation der Produkte/Tools: Linux Test Project (LTP) für OS Load Testing; JMeter, The Grinder, HP Quick Test Professional/HP Quality Center für (Web-)Anwendungs-Last-Testen; DBMonster für Datenbank-Last-Tests; Spezial-Test-Programmen/Plugins für LDAP- E-Mail-, SSL-/JDBC-/ODBC-/FTP-/Security-Testing. Evaluation der weiteren Tools MS Visual Studio Test Professional/Visual Studio Test Manager, Perl Testing Modules (Test-Harness, Test-DBIx, Test-C2FIT, Test::FIT), Fitnesse, Test Code-Generierungs-Tools. Erstellung und Halten von Präsentationen zu den Best Practices, Prinzipien, Herausforderungen und Lösungen im Last-/ Performance-Testing.


Mobile Architect, Projektleitung Offshore Entwicklung
iOs/Android App Stores / Endkunden, Homeoffice
1/2011 – 3/2014 (3 Jahre, 3 Monate)
Medienbranche
Tätigkeitszeitraum

1/2011 – 3/2014

Tätigkeitsbeschreibung

Projektziel: Entwicklung von Android/iOS Apps (iPhone, iPad), hauptsächlich im Bereich Lernsoftware und Krypto-Tools.
Aufgaben Typische fachliche Aufgaben: 2D- und 3D-Visualisierung für Lernsoftware: Sprachlernen und assoziatives Lernen, Konzeption wiederverwendbarer C++/Objective C/Java/JavaScript Frameworks.
Typische technische Aufgaben:
1. Erstellung von Architektur-Dokumenten (Word-Dokumente mit UML-Diagrammen).
2. Kommunikation/Abstimmung mit Offshore-Entwicklern.
3. Recherche geeigneter kommerzieller oder Open Source Frameworks sowie Austesten/Prototyping mit diesen Tools.
4. Code Review der gelieferten Quelltexte.
5. Akzeptanz-Testing der erstellten Software.
6. Integration von Komponenten, Beseitigung von Fehlern, Refactoring.
7. Internationalisierung von Texten, Audio- und Video-Dateien mithilfe von selbstrekrutierten internationalen Freiberuflern.
8. Integration von 2D-/3D- oder Sound-/Video-Dateien in die Anwendung.
Basis-Toolkits für die Anwendungserzeugung:
• (Objective) C/C++, Grafik-Fokus (2D/3D), intensiv benutzt: Cocos2d-x, Irrlicht (alle Open Source), Unity3D; angetestet: Unreal Engine, Coronalabs, SIO2.
• Java (nur angetestet), Grafik-Fokus (2D/3D): Coronalabs, Shiva Engine/ShiVa3D, Gideros Mobile.
• JavaScript/HTML5 (nur angetestet): Appcelerator/Titanium Mobile, PhoneGap, RhoMobile, MoSync (können jeweils native Apps erzeugen obwohl Web-Technologien mit hoher Produktivität zur Programmierung verwendet wurden; geeignet für alle Apps sofern keine großen Performance- und/oder komplexe 2D-/3D-Grafik-Anforderungen gestellt werden).
• Cross-platform general-purpose mobile Libraries, intensiv benutzt: MoSync, Corona SDK, Qt & mobile Portierungen, JUCE.
Produktlinien-Architektur: Erstellung einer hoch-wiederverwendbaren Bibliothek basierend auf einer Produktlinien-Architektur für 2D-App mit Pseudo-3D-Effekten. Die Bibliothek unterstützt die Digitalisierung aller klassischen Spiele mit Karten, (Domino- oder Spiel-)Steinen, Spielfiguren, usw. Das bedeutet, dass jedes klassische Spiel umsetzbar ist mit minimalem Aufwand unter Benutzung der hoch-wiederverwendbaren Produktlinien-Architektur.
Mobile Test Frameworks: Monkey Talk (komplettestes Event-Capturing), Nativedriver, Calabash, SeeTest, Selenium.
Tools/Libraries: Autodesk Maya3D, Adobe Photoshop, Adobe Illustrator, Corel Draw, Corel Photopaint, Crystal Space, Open Scene Graph (OSG), OpenGL ES (API), MonkVG, SVGL, Inkscape, Open Asset Import, As3swf.
IT-Umgebung MacOS mit XCode, iOS, Android mit Java oder NDK (Native Development Kit, C/C++), Eclipse, JavaScript, teilweise Windows mit MS Visual Studio, MS Office, MS Visio: Subversion, CVS, make, g++, MySQL, PostgreSQL, NoSQL, Apache Tools, XML.


Architekt & Security-Spezialist
Alliance Boots Group: ANZAG, MegaPharm, Sankt Augustin
8/2010 – 3/2011 (8 Monate)
Life Sciences
Tätigkeitszeitraum

8/2010 – 3/2011

Tätigkeitsbeschreibung

Analyse und Verbesserung der Architektur sowie der IT-Sicherheit (Security) eines Praxis- & Tumor-Dokumentationssystems basierend auf JEE, Google Web Toolkit (GWT), GXT, Hibernate, Spring, Dozer, Batik, Atomikos, Drools sowie Testautomatisierung mit JMeter, Selenium und EasyMock.

1. Ausarbeitung eines Sicherheitskonzeptes für Architektur, Entwicklung und die Test-Automatisierung, basierend auf Common Criteria, BSI Grundschutz sowie diversen ISO-Standards. Umsetzung der wichtigsten Security-Maßnahmen auf Ebene von Architektur und Entwicklung, z.B. umfangreiche Daten(fluss)-Validierungen, Ergreifen der Gegenmaßnahmen mit dem besten Kosten-Nutzen-Verhältnis gegen die 250 wichtigsten Angriffstypen nach den 10 wichtigsten Security-Portalen wie OWASP.org, WebAppSec.org, cwe.mitre.org, etc. Für jeden der 250 wichtigsten Angriffe Sammeln/Konzipieren der Gegenmaßnahmen mit allen Details. Bewertung jedes Szenarios nach den oben genannten Kategorien. Dann wurden die Gegenmaßnahmen unter Berücksichtigung der möglichen Gefahr (d.h. des Erwartungswertes der Verluste) und einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen priorisiert. Nach der endgültigen Entscheidung über die Maßnahmen, wurde das Restrisiko berechnet werden und die Ergebnisse wurden für die Vermarktung der Lösung verwendet. Nach der Implementierung von Gegenmaßnahmen wurde auf Basis der erzielten Qualität trotz Budget-Kürzungen z.B. bzgl. Penetration Tests eine erneute Bewertung vorgenommen und mögliche Verbesserungsmaßnahmen priorisiert. Gegenmaßnahmen gegen neue Bedrohungen wurden in ähnlicher Weise neu bewertet und verwaltet.
2. Pen-Test- und Acceptance-Test-Konzeption basierend auf Security Scannern & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs, WebGoat (unsich. App), Fiddler, ModSecurity. Dabei erfolgte die Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
3. Design und Implementierung einer Validierungs-Bibliothek für die Client-und Server-basierte Validierung der Client-Seite mit Support für GWT (GXT) in einem Modus mit JavaScript (Programmierung einer Validierungs-Komponente in JavaScript) oder mit GWT-JavaScript-Verbindung via JSNI für aus Performance-Gründen, weil JavaScript bzgl. Regular Expressions nicht direkt von GWT unterstützt wird. Auf der Serverseite dies ist in Java implementiert und wird GWT-konform gehalten.
4. Erstellung eines Web-Anwendungs-Test-Konzepts, das explizit die 50 wichtigsten Angriffs-Techniken auflistet, insbesondere mit allen gängigen Arten von XSS / XSRF, Code-Injection und andere Arten von Angriffen in so vielen Beispielen/Varianten wie möglich. Dieses Konzept wird zum Testen der Validierungs-Library und der sonstigen Sicherheitsmaßnahmen eingesetzt.
5. Design / Überwachung der Umsetzung der identifizierten Gegenmaßnahmen und Eindämmungsmaßnahmen im Rahmen der Umsetzung des Sicherheitskonzeptes gemäß Common Criteria (CC).
6. Erstellung einer Java Security Library unter Nutzung/Integration der Best-Practice-Sicherheitsbibliotheken, z. B. von OWASP sowie ScalaCheck (über Java und Scala).
7. Datenkonvertierungs-Konzept für klinische/onkologische Daten / Coaching bzgl. Talend Open Studio (ETL).
8. Verwendung von UML Lab, ein Eclipse-basiertes UML Round-Trip-Tool von Yatta in einem freundlichen User Test basierend auf Open ArchitectureWare (OAW): Verwendung / Anpassung von Analyse / Generation-Vorlagen in OAW: Xtext, Xpand, JET.


Software-/System-Architekt im Kernteam mit Schwerpunkt Security & Transition Man
Dt. Telekom/T-Systems: De-Mail-Projekt, Darmstadt + Frankfurt/Main, DE
7/2010 – 10/2011 (1 Jahr, 4 Monate)
Telekommunikation
Tätigkeitszeitraum

7/2010 – 10/2011

Tätigkeitsbeschreibung

Konzeption, Abschätzung der Machbarkeiten und Zusammenhänge, Realisierung, Test; Delivery und Zertifizierung eines E-Mail- und Dokumenten-Speicherungs-Systems nach De-Mail-Gesetzesvorlage & Security-Vorgaben von der Behörde BSI. Hierdurch erlangen De-Mails gleiche Beweiskraft wie eingeschriebene Briefe und können für die verbindliche Behördenkommunikation verwendet werden. Slogan: Verbindlich, vertraulich, verlässlich.

1. Haupaufgaben: Software-/System-Architekt: Netzwerkstruktur (Zonenkonzept: Access-, Service- und Backend-Bereiche, Admin-LAN), Security, Storage, Datenbanken, VPN, Konnektoren, Gateways, Application Server, Services, Applikationen, Frontends, Krypto-Konzept (Schlüssel-Lebenszyklus, Algorithmen, Zertifikatsprofile, OTP, Secure Tokens, Smartcards); Host-/Network-based Intrusion Detection Systems (HIDS/NIDS) mit Active Bypass Units (ABPU), Nutzer- und Rechte-Konzepte, Prozessentwurf/Prozessdesign, Prozessimplementierungen bzgl. Krypto-Material, Disaster Recovery, Compliance (mit gesetzlichen und Security-Auflagen), Anbindung Elektronischer Personalausweis (ePA/nPA), Zuarbeit Projektmanagement: Schnüren von Arbeitspaketen, Zeit- und Kostenschätzungen; Technologie der Web-Applikationen: GWT, ExtGWT/GXT/Vaadin RIA frameworks, HTML5 (canvas, SVG, etc.), BST media player (video support), GWT graphics, Gwtrpc-spring, Spring (lightweight IOC container), GWTEventService, Hibernate (ORM), Envers (Auditing), Lucene (fulltext search), Apache CXF (webservices), EhCache, Dozer (object mapping), JasperReport (reporting), Jasypt (encryption), JBoss Drools (workflow and rules engine), Atomikos Transaction Essentials (JTA manager), Apache Tomcat.
2. Erstellung eines Clustering-Architektur-Konzeptes mit günstiger Standard-Hardware nach Vorbild von Google und LinkedIn (Search, Network, Analytics SNA): Hadoop, Google File System (GFS), Google Distributed Systems, verteilte Datenbanken Voldemort und Sensei; wesentliche Algorithmen & Datenstrukturen: Map-Reduce, BigTable/Hypertable, Sawzall, Compression, Encryption.
3. Projekt-Management: Abstimmung der Lösungsideen und Vorgehensweisen als Architekt im Core-Team mit ca. 20 anderen Teams innerhalb der Telekom sowie von Software- und Hardware-Lieferanten, insgesamt ca. 300 Mitarbeiter umfassend. Organisation von Meetings, Telkos, Präsentation und Abstimmung von Lösungen, Führen von Diskussionen bei diversen Zielkonflikten zu Lösungen: am schnellsten umzusetzende, am schnellsten laufende, sicherste, am leichtesten zu zertifizierende, preisgünstigste, kompatibelste, risikoarmste, aus renommiertesten Komponenten bestehende, mit bestem Support versehene. Umgehen mit hohem Arbeits- und Zeitdruck unter Erzeugung möglichst weniger Desillusionierungen, Verlusten an Produktivität und mit minimaler Notwendigkeit bereits erarbeitete Teilergebnisse verwerfen zu müssen.
4. Transition Management Entwicklung -> Betrieb: Konzipieren/Mitumsetzen der Entwicklungs-, Test- und Produktivumgebungen nach TSI-Standards (z.B. Hitnet, Blade, eTOM (Enhanced Telecom Operations Map), TOGAF, GDM (Group Domain Model)…) sowie mit neuen Komponenten als zukünftige Betriebsstandards; Prozessoptimierung, Begleitung Testmanagement, Changemanagement, Releasemanagement.
5. Erstellung von Security-Zertifizierungs-Unterlagen nach BSI-Grundschutz/ Common Criteria, z.B. Attack-Tree-Erstellung und darauf aufbauende Analysen, Schutzbedarfsanalysen, End-to-End-Systemübersicht, Sicherheitskonzept und Analyse. Aufstellung von Assets, Vulnerabilities, Attacks, Threats, Mitigations, Policies nach Common Criteria und Ermittlung verbleibender Schwachpunkte sowie deren Ranking nach Wahrscheinlichkeiten/Erwartungswerten.
6. Konzeption/Überwachung der Implementierungen der identifizierten Gegenmaßnahmen im Rahmen eines Sicherheitskonzeptes nach Common Criteria (CC). Anspruch, des De-Mail-Systems ist, das sicherste IT-System in Deutschland zu sein, denn bei einer Kompromittierung würde damit auch das vom Grundgesetz geschützte Postgeheimnis verletzt. Schließlich werden auch besonders brisante Inhalte wie Steuer- und Strafbescheide, Krankenberichte, etc. über De-Mail zugestellt werden. Die Zertifizierung erfolgt nach den höchsten BSI-Standards in breitestmöglicher Auslegung, wie dies wohl noch nie für ein solch großes System geschah. Eine besondere Tätigkeit war die Analyse erfolgreicher Hacks, wobei insbesondere die Analyse/die Hintergrundrecherche des Diginotar-Hacks (Niederlande) zeigte, dass der Abgleich unter den HSMs per SSL unzureichend bzgl. Session-Refresh-Angriffen gesichert war.
7. Erstellung von (Schulungs-)Unterlagen für den Betrieb; Kompetenztransfer
8. Erstellen eines Sicherheitskonzeptes für Web-Frontends allgemein nach dem Baukastenprinzip basierend auf den wesentlichen Frontend-Komponten: WebApp allgemein, JavaApp, GWT-App, JavaScript-/AJAX-App. Das konkrete Sicherheitskonzept umfasste insgesamt das Vaadin-GWT-basierende Frontend sowie die Backend-Anbindung, das alle sinnvollen detaillierten Vorgaben/Bewertungen auf Management- und Technik-Ebene in separaten Excel-Eingabefeldern berücksichtigt. Dann werden unter Hinzuziehung der 10 wichtigsten Security-Portale (OWASP.org, WebAppSec.org, cwe.mitre.org, etc.) jeweils über 100 der wichtigsten Angriffs- und Gegenmaßnahmen mit all ihren Bewertungs-Details aufgelistet und auf das jeweilige Szenario angepasst bewertet sowie nach den o.g. Kategorien sortiert und zu einem Gefährungspotential (Erwartungswert des Schadens) sowie einer Kosten-Nutzen-Analyse der einzelnen Gegenmaßnahmen kondensiert. Nach abschließender Entscheidung über die Maßnahmen kann das verbleibende Restrisiko berechnet werden und die guten Ergebnisse für das Marketing der Lösung verwendet werden. Nach Umsetzung/Implementierung der Gegenmaßnahmen kann im Zuge von Qualitäts- und Penetration-Tests ein Re-Assessment durchgeführt werden und Verbesserungsmaßnahmen und Gegenmaßnahmen gegen neue Bedrohungen wieder gleich exakt bewertet und gemanagt werden.
9. Konzeption und Implementierung einer Validierungslibrary für Client- und Server-basierte Validierung sowie anschließendes Testmanagement; clientseitig mit Unterstützung für GWT (GXT+Vaadin) sowie in einem Modus nur mit JavaScript (Programmierung einer Validierungskomponente in JavaScript) bzw. mit GWT-JavaScript-Anbindung via JSNI aus Performance-Gründen, weil GWT die JavaScript-RegularExpressions nicht direkt unterstützt. Serverseitig in Java implementiert und GWT-konform gehalten. Ergänzung um Check-Funktionen in Scala sowie ScalaCheck.
10. Erstellen eines Web-Application-Testkonzeptes, das die ca. 50 wichtigsten Angriffstechniken insbesondere mit allen wichtigen Arten von XSS/XSRF, Code Injection und sonstigen Angriffsvarianten in möglichst vielen Darstellungsvarianten explizit aufführt. Nutzung der Security Scanner & Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs.
11. Berücksichtigung von Sicherheits-Standards wie ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI WebApp-Sicherheitsbaustein (basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme) und deren Umsetzung in Form von Sicherheits- und (Penetration-)Test-Konzeptionen.
12. Evaluation von Techniken/Toolkits/Standards für die Konsolidierung von Dokumenten sowie für Dokumenten-Management-Systeme (DMS) sowie Portale. Evaluiert als DMS: Liferay, Alfresco, OpenCMS, Drupal, WordPress, Joomla, Typo3, Polarion 2011, Logicaldoc, phpwcms, Booki.cc; als zentrales Dateiformat: XML, RTF, HTML, DocBook, DITA, ODF, OOXML, Wiki Formate (MediaWiki, DocBookWiki); als Ajax-RichText-Editoren: Etherpad, Tlerik RadEditor, TinyMCE, CKEditor, FreeTextBox, (j)HTMLArea, Xinha, BitFluxEditor, Dijit Editor, jQuery Rich Text Editor (RTE), Ekit.; als Kollaborative Plattformen: TWiki, LaTeXLab, TeamLab, Feng Office, Nuxeo, EXo Platform, OpenKM, Telligent evolution/enterprise, Zoho Writer/Zoho Docs, Ramius Engagement, ShowDocument, DocScape, MindTouch Core, TmsEKP; als Konvertier-Tools: Herold, HTML2DocBook.xsl, ROBODoc, Pod-2-DocBook, DocBook Tools, Apache FO, XES, LaTeX2RTF, L2HTML, RTFConverter, UnRTF, WVware, Drupal Import/Export; als Terminologie/Translation Memory Systeme: openTMS, opentm2, Anaphraseus, OmegaT+, SUN Open Language Tools, Transolution XLIFF Editor.
13. Architektur eines DMS-Addons für die konsistente Konsolidierung verschiedener Dokumente und Versionen unter Nutzung von Liferay als Portal-System sowie von Etherpad / TinyMCE als Rich-Text-Editoren. Das Addon erlaubt in einem linken Bereich das Laden/Erstellen/Bearbeiten/Speichern einer inhaltlichen Struktur für das Zieldokument sowie die Darstellung der Quelldokumente mit ihrer Struktur. Durch Anklicken wird jeweils das entsprechende Kapitel im Rich-Text-Editor rechts angezeigt. Satz-, Absatz- oder Abschnitts-weise können Inhalte per Drag & Drop in die Ziel-Dokument-Struktur abgebildet werden. Bereits vorhandene Passagen werden farblich markiert zur Erkennung von Doppelungen oder Unterschieden zwischen Versionen. Auch das direkte Editieren der Passagen im Zieldokument ist möglich. So konnten hunderte Entwicklungs-Dokumente aus verschiedenen Teams bzw. von älteren Ständen schnell und kostengünstig integriert werden.
14. Erstellen des Krypto-Konzeptes nach BSI-Standard: Konzeption aller Maßnahmen bzgl. Verschlüsselung, Signatur, Hashing, Integritätsschutz und Authentifizierung. Nutzung von Hardware Security Modules (HSMs, Safenet Luna SA, Thales TEMS), TCOS Smart Cards (Telesec), Telesec One-Time-Password (OTP), Web Application Firewalls (WAF, Barracuda), Intrusion Detection und Prevention Systemen (IDS/IPS), Firewalls, Virtual Private Networks (VPN, Cisco ASA), Verbindungsverschlüsselung (SSL/OpenSSL/Java-SSL/IPSec), Schlüsselaustausch (Diffie-Hellman), Schlüssel- und Zertifikatserzeugung, Verwaltung, Entsorgung (gesamter Krypto-Material-Lebenszyklus), Definition erlaubter Krypto-Verfahren und deren Parametrisierung, Maßnahmen zum Integritätsschutz wie z.B. der Erkennung von Manipulationen oder Malware (tripwire).
15. Erstellung eines Business Continuity Management (BCM) und Disaster Recovery Management (DRM) Konzeptes sowie Test-Manager für das Testen der Umsetzung: Single Point of Failure (SPoF) Analyse und Konzeption von Redundanz-Mechanismen, um Anforderungen nach Null-Daten-Verlust und Verfügbarkeiten von mindestens 99,99% zu erfüllen. Nutzung von Abhängigkeitsdiagrammen & weiteren Business Continuity Institute (BCI) Good Practices Guidelines (GPG), 2 Standorte, mehrere Cluster, Oracle DataGuard zur Umsetzung synchroner und verzögerter Daten-Replikation, Konzeption von Failover-Mechanismen einschließlich 4-fach redundandem Datenspeicher (DB/Filesystem) mit Redo-Logs und Snapshot-Support, HSMs (Hardware Security Module), VPNs, Zonenkonzept (Access-/Service-/Backend-/Management-Zonen), WAF (Web Application Firewall-Wände), IPS (Intrusion Prevention-Systeme), selektive Fehlererkennungs- und Recovery-(Rückaufsetzungs-)Mechanismen.
16. Big-Data Architekturkonzept (Hadoop, Cloudera-Distribution) mit Proof-of-Concept Implementierung): HBase, Cassandra, Redis, HCatalog, Hive, Shark /Stinger, Impala/Drill, Sqoop, HDFS, Pig, Oozie, Zookeper, Nagios, Kafka, Hue, RabbitMQ, Protobuf, Ganglia, Kafka, Ambari/Ganglia, Mesos.

IT-Umgebung: Red Hat Enterprise Linux, SuSE Enterprise Server 11, IBM AIX, Win32, Java/JEE mit Glassfish, Apache CXF WebServices, IBM GPFS (General Parallel File System), Cisco ASA (VPN/Gateway), strongSwan, Brocade Encryption Switch, Thales TEMS, Sun XFS, Oracle RAC, Oracle Coherence, Luna Box, Utimaco LIMS mit Gateway, Vmware Virtualisierung, Viren- & Malware Scanning, Web Application Firewalls (WAF), Identity Enabling Services (IDES), managed Security Information and Event Management (mSIEM), Network Intrusion Detection System (NIDS), Network Shared Disk (NSD), SAN-Systeme (Storage Area Networks), Mail Transfer Agents (MTA), One Time Password Tokens (OTP), Lifetime Key Management (LKM), Lawful Interception Management System (LIMS), Load Balancer (LB), Hardware Security Modules (HSM), Soft-PSE (Personal Security Environment), Hard Disk Assembly (HDA), NAT-Traversal, DMZ (Demilitarized Zone), Advanced Mezzanine Card (AMC), TCOS 3.0, Triple Key Zertifikate.
Tools: Visio, Enterprise Architect, MS Project, Eclipse, Elliptic Curve Cryptography (ECC), Hitachi Storage Navigator, Hitachi Device Manager, Hitachi HiTrack Monitor, Brocade Data Center Fabric Manager, TrueCopy, Oracle Database, Oracle OpenDS, HP ArcSight Tools (Base, Web, IT Governance, Admin Console), Squid, Exim, James, Liquibase, Oracle Glassfish v3, Oracle JDK 6/7, Oracle 11gR2 mit RAC, Partitioning, Advanced Security, Database Vault, Advanced Compression, Oracle Text, Diagnostic Pack, Tuning Pack), Scala, ScalaCheck.
Protokolle/Formate: JDBC, WSDL, http(S), XML/XML Schema (XSD)/XSLT, WS-* Standards, Online Certificate Status Protocol (OCSP), POP3, SMTP, LMTP, IMAP, LDAP, IPSec, SSL, TLS, S/MIME, DNSSEC, DNSCurve, ZFS, NFSv3, NFSv4, X.509v3 mit Extended Usages, Data Encoding Rules (DER), Certificate Revocation Lists (CRL), G10-Schnittstelle.
Kryptoalgorithmen: Discrete Logarithm Integrated Encryption Scheme (DLIES), Elliptic Curve Integrated Encryption Scheme (ECIES), (Elliptical Curve) Digital Signature Algorithm (EC)DSA, RSA, SHA-2 Hashing, Diffie-Hellman.
Hardware: HP Blade 460 G6, HP Power 750 Systems, Fujitsu RX300 Primergy, Brocade Encryption SAN Switches, Luna SA, Thales TEMS, Cisco ASA (Router/Firewall/VPN), BladeSwitch, Barracuda WAF 860, IBM Proventia Network Intrusion Prevention System, RSA RKM, Certificate Authority (CA: Telesec/V-PKI), Checkpoint/Fortinet/Juniper Firewalls, BigIP Traffic Manager, Load Balancer, RAID-Systeme.
Libraries/Frameworks: JAX-WS, JAXB, Apache CXF, Hibernate, SoapUI, jMeter, Selenium, GWT, ExtGWT/GXT, Vaadin, GWT graphics RIA frameworks, Spring, Dozer, Batik, Atomikos, Drools, jBPM, Selenium, EasyMock, CSP, OpenSSL, HTML5 (canvas, SVG, etc.), BST media player, Gwtrpc-spring, Spring, GWTEventService, Envers, Lucene, EhCache, Dozer, JasperReport, Jasypt, JBoss Drools, Atomikos Transaction Essentials, Apache Tomcat.

Eingesetzte Qualifikationen

Reporting, Oracle RAC (Real Application Clusters), Oracle Data Guard, Oracle Database, Oracle (allg.), JDBC (Java Database Connectivity), Access, dBase, Hardware Entwicklung, Cisco Firewalls, BSI-Standards, IPSec, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Firewalls


Security-Spezialist & Architekt
Regierung: Bundesdruckerei / Maurer Electronics, Hannover
6/2010 – 8/2010 (3 Monate)
Innere und Äußere Sicherheit
Tätigkeitszeitraum

6/2010 – 8/2010

Tätigkeitsbeschreibung

Wiederaufnahme zweier eingestellter Software-Entwicklungen für die Echtheitserkennung von Reisedokumenten, eine in C++ mit Qt und gSOAP, eine in Java/JEE. Analyse/Verstehen/Debuggen des bestehenden Codes, Integration der Systeme, Erstellen von GUI-Prototypen, Coaching des Entwicklerteams bzgl. der Technologien JEE, JBoss, Seam, RichFaces, Drools, jBPM, Hibernate, Ajax, SmartClient, Grails.

Coach, 6 Team-Mitarbeiter.

Fachlich:
Coaching, Einarbeitung und Anleitung des neuen Teams zur Weiterentwicklung der Gesamtanwendung in JEE, Seam, Hibernate, Ajax, Grails. Neben allgemeinem Coaching, Konzeption/Implementierung von WebServices/Ajax-Schnittstellen zur Kommunikation zwischen den Anwendungsteilen, Erstellen von Tool-Marktübersichten und Diskussion der Entwicklungsrichtung mit dem Management, Erstellen von GUI-Prototypen und besprechen der Ergebnisse/weiterer Marschrichtung mit dem Management.

Technisch:
1. Einrichten/Konfigurieren der Entwicklungsumgebungen für die C++ und die JEE-Anwendungsquelltexte.
2. Analyse der bestehenden Anwendungsdokumente und Quelltexte in C++ sowie in Java/JEE.
3. Konfiguration, Debugging, Logging/Tracing: Coaching und eigenes Debuggen/Fixen der wichtigsten Fehler, vor allem in der JEE-Applikation.
4. Automatisches Einfügen eines systematischen Tracings/Loggings in die JEE-Applikation zum Verständnis der Daten- und Kontrollflüsse sowie zum Trouble-Shooting und zur Einarbeitung/Anpassung des Systems.
5. Erstellen/Anpassen von WSDLs/WebServices zur Integration der Systeme und zum Datenaustausch mit den GUIs mit Apache CXF unter Nutzung von JAXB bzw. XMLBeans (alternativ auch mit Apache AXIS2).
6. Erstellung von Marktübersichten zu GUI Rapid Prototyping Tools, Java/JEE GUI Frameworks sowie Ajax Frameworks.
7. Coaching und eigenes Erstellen von GUI-/Funktions-Prototypen in verschiedenen Technologien: jQuery/Ajax, SmartClient, SmartGWT, Tersus, ExtJS, Adobe Flash/Flex, Groovy/Grails sowie Seam/RichFaces.
8. Dokumentation, Einarbeitung/Schulung des Teams.


Architekt/Projektleiter
Schwäbisch-Hall/Kreditwerk, Schwäbisch-Hall
1/2010 – 5/2010 (5 Monate)
Banken
Tätigkeitszeitraum

1/2010 – 5/2010

Tätigkeitsbeschreibung

Konzeption neuer WebServices im Rahmen eines ESB/SOA-Konzeptes für das Internationale Bausparkassenpaket (insbesondere für Partner-/Tochterunternehmen, davon viele in Osteuropa), beispielhafte Implementierung, Anbindung von Cobol-basierten Backends, Verallgemeinerung bis hin zur Definition von Templates und darauf aufbauend Code-Generierung von Java/Cobol-Quelltexten. Einbau in ein JBoss-basiertes System vorgeschaltet vor SAP DMS (Dokumenten-Management-System) und Data Mining/Business Intelligence (SAP BI).
Architekt/Projektleiter, Muster-Implementierung, 2 Team-Mitarbeiter.
Fachlich:
1. Bausparkassen den Austausch von Informationen (via WebServices, JMS) zu Kunden und Verträgen ermöglichen zwischen den Abteilungen über den ESB sowie auch Informationen mit der Konzernmutter Schwäbisch-Hall. Diese Anbindung zwischen Java-Clients und Java- bzw. Cobol-Backends ist ein wichtiger Schritt zur Nutzung eines ESB (Enterprise Service Bus) im Rahmen eines dabei weiterentwickeltes SOA-Konzeptes.
2. 2.) Einsatz des Frameworks in einem JBoss-basierten JEE-System zur Disposition und Lagerverwaltung für den Einkauf. Insbesondere Integration der WebService-Funktionalität in Dokumentenmanagement-System (SAP DMS) und Data Mining/Business Intelligence System (SAP BI); Entwicklung der relevanten JEE-Applikations-Funktionalität von GUI bis hinunter zur Datenbank.
Technisch:
1. Erstellen generischer Client- und Server-Implementierungen unter direkter Nutzung von XML, http, etc. als Fallback-Lösungen.
2. Definition von WSDL mit ws-* Standards, z.B. ws-addressing, ws-enumeration, ws-security.
3. Code-Generierung mit JAX-WS unter Nutzung von JAXB und XJC.
4. Cross-Validierung und Testing sowie Ausloten von Features unter Nutzung von Tools/Implementierungen auf Basis von SoapUI, tcpmon, SoapMon (AXIS2) sowie Apache CXF/XmlBeans.
5. Direkte Anbindung von AS/400 und iSeries-Systemen mit Implementierungen in Cobol unter Nutzung von IBM WebSphere Development Studio Client (WDSC).
6. Konzeption/Entwicklung von Tracing/Logging/Monitoring/Fehler-Diagnose-Tools für Entwicklung und Betrieb.
7. Konzeption/Entwicklung einer Persistierungsschicht mit HyperJAXB sowie TraceTool gegen XML-Dateien, Datenbanken, Textdump und binäre Datenstrukturen.
8. Entwicklung einer Java-Cobol-Integrationsschicht für die IBM-Server auf Basis von jt400/jtopen mit Programcallbeans (Java->Cobol) unter Nutzung von PCML und Cobol Copystrukturen. Muster-Implementierung als Vorlage für Code-Generierung.
9. Hilfe bei der Integration in Web-Client-Komponenten auf Basis von Spring und JSF RichFaces.
10. Hilfe bei der Migration der neuen WebService-basierten Aufrufe in das bestehende internationale Bausparkassen-Paket.
11. Konzeption weiterer ESB-basierter Kommunikationsstrukturen in Form von WebServices/JMS (Definition der Schnittstellen und Datenformate) für die gesamte in Backend/Frontend benötigte Funktionalität.
12. Definition von Datenmappings/ETL mit WebSphere Transformation Extender bzw. Talend Open Studio.
13. Erstellen von Vorlagen für die Codegenerierung mit open Archictectureware (OAW). Unterstützung von UML, annotierten Java-Klassen, WSDL/XSD sowie von XMI als Masterformate.
14. Hilfestellung bei der Integration in das Code-Generierungs-Systems auf Basis von OAW: Entwicklung von Templates und Anpassungen für die Generierung aller für Clients und Server nötigen Artefakte (Cobol, Java, PCML).
15. Einbindung von WebService-Client und Server-Funktionalität in das JBoss-System für SAP DMS (Document Management System) und SAP Data Mining/Business Intelligence (SAP BI) unter Nutzung einer SAP NetWeaver-Schnittstelle (SAP NetWeaver Development Infrastructure, NWDS).
16. Konzeption und Entwicklung des gesamten Applikations-Stacks unter Nutzung von JBoss RichFaces, Hibernate mit Criteria API, EJB, named Queries, HQL, EJB-Stack für Services (EJBs), DTOs, DAOs, Entities/POJOs, Konzeption der HQL-Queries sowie der JavaScript-basierten AJAX-Funktionalität mit Ajax4jsf.
17. Dokumentation, Einarbeitung/Schulung der Kollegen.


Architekt/Projektleiter
Deutsche Börse: Banking/Wertpapierhandel, Frankfurt/Main
9/2009 – 12/2009 (4 Monate)
Banken
Tätigkeitszeitraum

9/2009 – 12/2009

Tätigkeitsbeschreibung

Fachlich: Architektur, Projektplanung/Aufwands-/Kostenschätzungen und Implementierung eines graphischen Regel-Systems mit Editor in JavaScript und RealTime-C++-Backend zur Berechnung von Finanz-/Börsen-Indikatoren, Bewertungen, Investitions-Modellen und Indizes.

Technisch:
1. Evaluierung von IBM ILOG jRules, JBoss Drools, Bosch/Innovation Visual Rules, Jitterbit Integration Server/Environment, Jamocha, Jess Rules, OpenRules, PowerLOOM/STELLA, Protégé, Jena OWL Framework; Konzeption mit Enterprise Architect, Visio und DreamWeaver.
2. Erstellung von GUI-Konzeptionsvarianten für einen eigenen Regel-Editor/Business Rules Editor/Programmiereditor und SQL Query Editors mit den Editierungs-Modi UML-Aktivitäts und Aktivitäts-Übersichts-Diagrammen, der UML Action Language und Programmablaufplänen (alternativ: Nassi-Shneiderman-Diagrammen). Daraus Konzeption/Implementierung einer angepassten Notation für den Regel-Editor mit praktikabler Schleifen- und Unterprogramm-Syntax und Drag & Drop-basierter Erstellung/Bearbeitung.
3. Business Logik Konzeption/Implementierung: Speicherung der Regelstruktur als AST (Abstract Syntax Tree/Parsebaum: Business-Objekte mit Layout-Information). Serialisierung/Deserialisierung in JSON/XML per JavaScript und C++. Für die erstellten Programme/Regeln Code-Generierung von Javascript und C++ implementiert in Javascript unter Echtzeit-Anforderungen und Ausführung in Client sowie im Server. Anbindung an die serverseitigen Finanzinstrumente-Datenbank per XMLRPC oder WebServices sowie in den Formaten/Protokollen JDBC, XML, CSV, JSON. Einsatzmöglichkeiten eruiert für die Anbindung an BPEL-Systeme sowie die Konzeption von Indizes, Anlagestrategien, Finanzinstrumente-Bewertungen und im Algortihmic Trading/High Frequency Trading Bereich.
4. Review/Erweiterung der Daten(bank)strukturen und DB-Modelle für die Finanzinstrumente.
5. Konzeption/Erstellen einer Datenbank für Investment- und Bewertungsmodelle, Berechnungskomponenten (Selektion, Normierung, Kappung, Sortierung, etc.) mit Versionsverwaltung.
6. Serverseitige Konzeption/Implementation/Integration (EAI): Interpretation (JavaScript mit dem SeaMonkey Interpreter) / Code Generierung (in C++) und Abarbeitung der Funktionen in Echtzeit unter Linux mit den Libraries tntnet, tntdb, cxxtools, platinum, boost, xparse. Rückmeldung von Fehlern, Ergebnissen, Watch-/Trace-Informationen an den browser-basierten Thin-Client.
7. Client-Implementierung des Business Rule Editors und SQL Query Editors als Webbrowser-basierte AJAX-Anwendungen mit Drag & Drop-Konstruktionsmechanismen in JavaScript /HTML/CSS mit jQuery und wz_graphics mit DIV-basierter Gafiklibrary, dojo/dojoX, Raphael Graphik-Bibliothek sowie Canvas/Excanvas unter Einsatz aufwändiger Canvas- und DIV-Platzierung und Event-Handling; Grafik-Design mit Corel Draw/Paint und Adobe Photoshop sowie DreamWeaver & MS Frontpage.
8. Konzeption / graphische Eingabe von Regeln und Bibliotheksfunktionen für die Berechnung von Werten/Börsen-Ticks von: Bonds/Anleihen, Aktien-Portfolios, (angepasste/dynamische) Indizes, (ereignis-basierte) Kauf-/Verkaufs- Kriterien. Erstellen von Infrastruktur/Regeln für die Berechnung vieler Finanzprodukte unter Berücksichtigung der Unternehmensnachrichten: OTC (over the counter) Produkte, Fonds/ETFs (Exchange-Traded Funds), Investment-Banking Portfolios, OTCs mit variablem/fixem Einkommen(Ausschüttung), Foreign Exchange (FX) Trading/Forex (Handel mit ausländischen Währungen), Zins-Swaps (IRS), Currency Carry Trades (Fremdwährungskredite), Strukturierte Wertpapiere, Derivate ([Aktien] Optionen, Futures). Für all diese Verwaltung/Auswertung von Unternehmensnachrichten/Ad-hoc-Mitteilungen. Implementation mit den Libraries boost, quantlib, xlw-lib.
9. Erstellen einer JavaScript-Library zum robusten fehlertoleranten Erzeugen und Einlesen von JSON-Dateien von beliebigen Ajax-Objekten, insbesondere von ganzen JavaScript-Objekt-/Prototyp-Hierarchien, z.B. über das Base2-Framework.
10. Erstellen eines Java-Tools zum automatischen Einfügen von Kommentaren in JavaScript-Dateien im JavaDoc-Format sowie zum automatischen Einfügen von Trace-Statements. Erstellen einer Tracing, Logging und Debugging-Library in JavaScript. Nutzung des jGrouseDoc-Tools zur Erzeugung der Dokumentation für JavaScript im Zielformat HTML.
11. Teil-Projektplanung/Konzeption im Rahmen eines Scrum-Verfahren mit 4-Wochen-Sprints.


Architekt/Projektleiter
PostFinance, Bern, Schweiz
1/2009 – 8/2009 (8 Monate)
Banken
Tätigkeitszeitraum

1/2009 – 8/2009

Tätigkeitsbeschreibung

Erweiterung/Härtung/Modernisierung der zentralen Konzern-Security-Berechtigungskomponenten (Identity Management System: Authentifizierung/Autorisierung und deren Verwaltung) sowie Anbindung von externen Partnern im Rahmen eines SOA/ITIL Konzeptes, Insourcing diverser Applikationen und Anbindung an die zentrale Security-Lösung basierend auf SOA.

1. Fachlich: Erweiterung der Enterprise Security-/Identity Management Lösung um neue SOA (WebService) Funktionen, Audit- und Enterprise-Rollen-Funktionen sowie Weiterentwicklung und Härtung der bestehenden Lösung sowie Weiterentwicklung zur Public-Key-Infrastruktur (PKI) mit Sun Directory Server und LDAP. Berücksichtigung von Berechtigungs-Prozessdefinitionen mit BPEL für die Freigabe-Prozessdefinition sowie der Standards zu Information Security Management Systems (ISMS): ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002. Portierung der Gesamtapplikation von WebLogic 8 nach WebLogic 10.3/11, insbesondere Portierung der WebServices/SOA-Schnittstelle durch Versehen der Webservice-Implementierung mit Annotations und darauf basierend automatische Generierung der WebServices über einen portierten ant-Build (WebLogic 8 nach WebLogic 10.3/11) von ergänzt um MBeans und Jython-Programmierung. Erweiterung des Rechtemodells um Rollen wie funktionale oder organisatorische Hierarchierollen, Kundenberater, Portfolio-Manager, Angel, Assessor/Auditor, Stabsrollen, Beraterrollen für Spezialfunktionen, Compliance, PCI-DSS Compliance, Vertretungsbefugnisse, Erweiterungen/Delegation von Rechten auf Teams.
Technisch: Test-Management von Penetration Tests, Reverse-Engineering der Datenbank- und Klassenstruktur der Anwendung als UML/ER-Diagramme mit Enterprise Architect sowie Sybase PowerDesigner, Konzeption und Applikationsentwicklung in Java/JEE, (Penetrations-/Sicherheits-)Tests der bestehenden J2EE Anwendungen, Identifizierung von Schwachstellen und deren Beseitigung mit Eclipse/Bea Workshop, Oracle/Bea Weblogic 8.x-11.0, automatisiertes (ear/exploded/split) Deployment und Bauen mit ant, Teile in Struts, Teile in JBoss Seam (JSF) sowie jeweils xdoclet, Hibernate, Spring, ClearCase, ClearQuest, Splunk. Einarbeitung und Portierung des komplexen Ant-Builds mit ca. 500 Targets: Visualisierung der Ant-Target-Abhängigkeiten, Einführen von Logging/Tracing auf Ant-Ebene, Berechnen des Ant-Callstacks, Umstellen auf inkrementellen Build und Portieren der Ant-Buildfiles auf WebLogic 11 Tasks mit Ivy und Integration in den Gesamtbuild.
2. Fachlich: Konzeption/Realisierung eines Hybrid-Tools (DB/XML) zur Identifikation, Kommunikation und Verfolgung der Code-Schwachstellen (Abstürze/Fehler/Security-Probleme) sortiert nach Relevanz. Entwickler werden per E-Mail/JSP-Web-Interface über bestehende Schwachstellen/Fehler in von Ihnen erstelltem Code informiert und der Fortschritt wird getrackt. Dazu wurden diverse Open-Source-Tools integriert.
Technisch: Aufruf der Tools PMD, FindBugs, ESC/Java, Hammurapi, Checkstyle, Lint4j, jLint, (Java), ScalaCheck (Integration auch mit Scala), Compiler (Errors/Warnings); Analyse des Outputs und Konvertierung in ein neutrales Format sowie Abspeicherung lokal/serverseitig als XML oder in einer Datenbank via HyperJAXB (Dual-Framework für Persistierung via XML-Dateien und/oder Datenbank). Subversion-Blame/Praise-Berechnung (SvnKit), Annotation der Quelltexte mit Autor/Fehlermeldungen/Warnungen, etc.; automatische Gewichtung jedes Fehlerhinweises pro identifizierendem Tool nach Precision und Coverage, damit die am dringendsten anzugehenden Code-Schwachstellen hochpriorisiert werden, Versenden von E-Mails zu den relevantesten Schwachstellen an die verantwortlichen Entwickler, automatisches Einfügen von Annotationen zur Bewertung der Schwachstellen (Relevanz, Priorität, Bearbeitung) oder Speichern einer Hash-Identifizierung der Schwachstelle; konfigurierbare Speicherungsmöglichkeit für Informationen parallel in XML-Dateien oder in einer Datenbank via Hibernate über HyperJAXB (alternativ: Castor mit Spring OXM, EclipseLink), Verfolgen des Fortschritts des Behebens der Schwachstellen über Datenbank oder (lokale) XML-Datenspeicherung; JEE-basierte serverseitge Business-Logik und User-Interface mit Captain Casa (Dual-Framework JSF für Thin-Clients/Swing für Fat-Clients bei einheitlicher Programmierung) und teilweise jQuery zum Anzeigen/Verwalten (Priorisieren/ Zuweisen) der diversen Fehlerhinweise.
Schwerpunkt Security-Standards: CERT Secure Coding, OWASP, OSSTMM, strenge Personenbeförderungs-Luftfahrt-Standards von Airbus/ARINC.
3. Fachlich: Insourcing von J2EE-Anwendungen eines externen Lieferanten sowie Integration mit dem zentralen Identity-Management-System (EAI).
Technisch: Reverse-Engineering der Datenbank- und Klassenstruktur der Anwendung als UML/ER-Diagramme mit UML-Tool Enterprise Architect sowie Sybase PowerDesigner, Umstellen des Build-Systems auf Maven2/Maven3 unter Nutzung von XDoclet/Annotations, Entwicklung/Anpassung von Maven Mojos/Plugins, Artifcatory, Sonatype Nexus, Migration von WebLogic 8.1.6 nach WebLogic 10.3/11.0. Automatisierungen für den Betrieb mit nur minimaler Wartung. Weitere Tools: Struts, xdoclet, Hibernate, LDAP. Integration mit dem IDM-System über WebServices / LDAP / Sun Directory Server.
4. Fachlich: Konzeption/Weiterentwicklung SOA-/ITIL-Zukunft (EAI)
1. Weiterentwicklung eines Konzeptes einer gemeinsamen Security-Schicht für Client- und Server-Anwendungen sowie Web-Services und JMS-Systeme zwecks einheitlicher Authentifizierung/Autorisierung sowie Caching der Berechtigungen.
2. Weiterentwicklung eines Konzeptes der konzernweiten Berechtigungsvergabe und Entzug für Personen/Applikationen/Ressourcen auf Basis von BPEL/BPM.
3. Konzept zum Schaffen einer gemeinsamen Basis für Rich- und Thin-Clients mit AJAX durch Code-Generierung mit JET (Java Emitter Templates) bzw. mit GUI-Framework Captain Casa (Erzeugt parallel Thin-Clients mit JSF sowie Thick-Clients mit Swing) sowie alternativ über Eclipse RCP/RAP ausgehend von UML-modellierten/generierten Business-Klassen in Java (Domain-Driven-Design).


Qualifikationen:
Win32/Unix (AIX, Solaris, Linux), Perl, Python, bash/korn/csh Shell Programmierung, JEE-/J2EE, Oracle 10, Oracle/BEA WebLogic 8-10, Glassfish, Java Management Extensions (JMX), ITIL, SOA, Oracle ESB, JBoss.
Tools: Eclipse, BEA Workshop, UML-Tool Enterprise Architect, XmlCopyEditor, Stylus Studio, Sybase Power Designer, DB Visualizer, ClearCase UCM, ClearQuest, putty, WinSCP, Oracle Sqlplus, TOAD, Squirrel SQL, Python, perl, ant/Ivy, maven, MS Project, Splunk, Sun Directory Server.
Protokolle: WS-Security, HTTPS, XML/XML Schema (XSD)/XSLT, WS-Security mit WS-Policy, t3, JSON, REST, Radius, Diameter, Triple-A, RFC 3539, 3588, RAS.
Libraries/Frameworks: HyperJAXB, Castor, Spring OXM, EclipseLink, SvnKit, JSP, Struts, XMLBeans, JAXB (Binding), JAXWS (Web Services), Quartz, Digester, SAX/DOM/StAX, JAAS, SAAJ, BouncyCastle, Oracle JDBC/Sql*plus, Hibernate, OpenJPA/JPA, xdoclet, Spring, poi (Excel-Datei-Verarbeitung), log4j, jUnit, JCA, Captain Casa, Eclipse RCP/RAP, OC4J, Oracle ADF.


Architekt/Transition Manager
Banking (Dt. Bank, Citigroup GCB, Sal. Oppenheim,, Frankfurt/Main
8/2008 – 12/2008 (5 Monate)
Banken
Tätigkeitszeitraum

8/2008 – 12/2008

Tätigkeitsbeschreibung

Projektziel: Abgeltungssteuer-Projekt sowie Anbindung von externen Partnern über JMS, sicheren File¬Transfer, sichere Web Services.
Rolle Architekt/Transition Manager, im Security-Bereich auch Realisierung, ca. 300 Mitarbeiter im Projekt.
Aufgaben 1. IST-Aufnahme des Systems nach Grundsätzen von ITIL und Erstellung eines neuen Betriebskonzeptes unter Business Continuity Aspekten:
Erstellung einer detailgenauen und strukturierten IST-Analyse einer bestehenden Unix Infrastruktur sowie aller vorhandenen Applikationen (Unternehmenssoftware, Virenschutz, Backup & Restore, IT-Sicherheit, etc.)
Ermittlung von Schwachstellen; Risikobewertung der vorhandenen Applikationen und Systemlandschaft nach ITIL; Vorschlag von Gegenmaßnahmen/Verbesserungen (Mitigations) sowie deren Umsetzung und Verfolgung/Tracking; Definition von Backup & Recovery Strategien (Exchange, File Server, Datenbanken, Webserver/AppServer, etc.)
1. Fachlich: Architekt in einem ausgelagerten Verbund-Projekt zur Realisierung einer Abgeltungs-Steuer-Lösung (Capital Gains Compensation Tax/Withholding Tax) auf Basis der Software Tributum - aufgehängt in den Fachabteilungen für Steuerangelegenheiten/Projekte mit Auswirkungen auf einen Großteil der Bankprozesse: Von der Finanzbuchhaltung, der Sparbuch-Verzinsung über Trading/Aktienhandel bis Derivate-Handel; Betreuung und Qualitätskontrolle eines Software-Lieferanten, Anbindung an Marktdatensysteme (Börsenkurse) zur Berechnung von zu versteuernden Gewinnen.
Technisch: Architektur mit Governance-Funktionen, EAI-Aufgaben, Erstellen von Schnittstellen-Definitionen und Managen der Implementierung, Qualitätssicherung des Lieferanten/Audit, Code Review, Configuration/Release/Build Management (manuelle und XML-XSLT-Skripts und Snippets für saxon sowie ant/maven basierende Build-File und Konfigurations-Erstellung für Standalone/Cluster-/LoadBalancing-Systeme, Build & Releasemanagement / J2EE Deployment), Massendatenverarbeitung, J2EE Konzeption, Entwicklung und Deployment mit WebLogic/WebSphere. WebSphere Transformation Extender (WTX), WebSphere Message Broker (WMB), JEE/JMS Code Review, Anbindung JMS-basierter Queues von WebSphere MQ (alter Name: MQSeries) bzw. WebSphere Message Broker an WebLogic über .binding- (erstellt mit JMSAdmin) und XML-Dateien, JMX, Oracle XA-Anbindung (2-Phasen-Commit) auch mit Embedded SQL (ESQL), Testing, TroubleShooting, Manuelle/automatisierte Log-File-Analyse mit regulären Ausdrücken, Splunk, Erzeugung von DTA-, COMPTAX-, COTAX-, und RITAX-Formaten sowie Anbindung von Derivaten (ETD – exchange traded derivatives: Z.B. (Aktien) Optionen und Futures) auch über Rolfe & Nolan (RAN/R&N) Systeme und Anbindung von COBOL-Anwendungen sowie die Verwendung von COBOL-Datenstrukturen, auch von Java/J2EE aus. Anbindung von C++/C#.net Systemen (CLI).
Projektleitung/Test-Management:
1. Fachliche und technische Projektleitung eines Teams von 25 Mitarbeitern sowie externen Lieferanten
2. Projektsteuerung und Koordination in Abstimmung der Gesamtprojektleitung
3. Abstimmung mit anderen Teilprojekten/Projektpartnern zu projektbezogenen Anforderungen, Akteuren, Schnittstellen sowie insbesondere den nötigen Änderungen an Geschäftsprozessen (BPM) sowie Change Management
4. Erstellung von Test-Konzepten mit Testdaten und Testmechanismen über Excel, Test-Management. Vorbereitung für den Betrieb.
5. Dokumentation der Arbeitsergebnisse und des Projektfortschritts
6. Erarbeitung von Entscheidungsvorlagen und Präsentation dieser Vorlagen auf Lenkungsausschussebene
7. IST-Analyse von Geschäftsprozessen
8. Konzeption von SOLL-Prozessen, insbesondere Datenflüsse zu Handelstransaktionen zwischen Bank-Abteilungen und ihren IT-Systemen
2. Fachlich: Realisierung eines Informations-Akkumulations-Systems (EAI) basierend auf externen Quellen, etwa von Equens (zuvor Interpay). Einsatz: Internationale Bonitäts- und Seriositäts-Überprüfung etwa im Vorfeld der Akzeptanz von Neukunden.
Technisch: Entwicklung sicherer Web-Services in Java mit Apache AXIS 2 sowie den Standards WS-Security (WS-Policy / WS-Addressing). Realisierung der Geschäftslogik in XMLBeans. Code-Generierung auf Basis von XML Schema (XSD) und WSDL. Datenformate: UNIFI/MX-Formate/ISO 20022, SWIFT. PCI-DSS Compliance.
3. Fachlich: Entwicklung einer Layout- und Technik-Basis für web-basierte Internet- und Intranet-Informationssysteme in Java/JSP mit Tagsets.
Technisch: Erstellung JSP-basierender GUI-Templates auf Basis von JBoss RichFaces, JBoss Seam, JBoss Portal, Hibernate / OpenJPA, XTHML. Evaluation/Testen von backbase, dojo, JSF IceFaces, Spring WebFlow, ExtJS / ExtGWT Toolkit (GWT = Google Web Toolkit), script.aculo.us/ scriptaculous auf Basis prototypeJS, jQuery.


Qualifikationen:
Win32/Unix (AIX, Solaris, Linux), Perl, Python, bash/korn/csh shell Programmierung, JEE-/J2EE, Oracle 10, PL/SQL, BEA WebLogic 10, IBM WebSphere MQ 7, WebSphere JMSAdmin & WTX, Tributum, Java Management Extensions (JMX), ITIL/SOA, AIX, Solaris, Marktdatenanbindung, Perl, Python, bash/korn/csh Shell Programmierung.
Tools: MS Project, MS Office, Eclipse, BEA Workshop, UML-Tool Enterprise Architect, Altova XML Spy, XmlCopyEditor, Stylus Studio, Liquid XML Studio, Sybase Power Designer, putty, WinSCP, Oracle Sqlplus, PL/SQL, TOAD, Squirrel SQL, Oracle JDeveloper, WebSphere MQ Explorer, rfhutil, Drools, MS Visual Studio 2003/2005 mit C#.NET (CLI), Python, perl, bugzilla, ant, maven, Splunk.
Protokolle: WS-Security, SFTP, HTTPS, XML/XML Schema (XSD)/XSLT, WS-Security mit WS-Policy und WS-Addressing, t3, JSON, REST.
Libraries/Frameworks: XMLBeans, JAXB (Binding), JAXWS (Web Services), JAXM (XML Messaging), Quartz, saxon, vtd-xml Parser mit XML-Indexierung zur Beschleunigung, Xerces, Xalan, Digester, SAX/DOM/StAX, Apache AXIS2 (auch AXIS 1) von WSO2/WSF (Web Services Framework), WSS4J, JAAS, SAAJ, SignEnvelope, Rampart, Rahas, Sun Crypto Provider, BouncyCastle, JBoss RichFaces, JBoss Seam, JBoss RichFaces, JBoss Portal, Spring WebFlow, Oracle TopLink, OC4J, Hibernate, OpenJPA/JPA, poi (Excel-Datei-Verarbeitung), spring, log4j, junit, jasypt Verschlüsselung, icu4j, regexp, pcregex, Jasper Reports, Crystal Reports, JCA (Java Connector Architecture).


Software-Architekt
Daimler AG, Stuttgart
1/2008 – 8/2008 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

1/2008 – 8/2008

Tätigkeitsbeschreibung

Aufgaben Fachlich:
Automatisierung/Optimierung des Produktentstehungsprozesses (Autos/Lkw) bei Daimler und seinen Zulieferern, vor allem im Bereich CAD/Konstruktion mit CATIA und IT. Hierbei lag der Fokus auf der effizienten Koordinierung der Teilnehmer an Entwicklungsprojekten und insbesondere der effizienten automatischen Propagierung und Überprüfung von Spezifikationen, deren Änderungen und deren Einhaltung.
Technisch:
Allgemein: Erstellung der Gesamt-Architektur für alle Rich-Clients des konzernweiten PDM-Systems für CATIA und unter Eclipse RCP (Rich Client Platform) in CAA/RADE C++ und in Java mit ausreichender Performance und Parallelität für Massendatenverarbeitung.
1. Koordination der Onsite- und Offshore-Teams
2. Architektur/Konzeptionierung des neuen konzernweiten CATIA-basierten Rich-Clients in Form von Plug-Ins in C++ für das CAD-Programm CATIA von Dassault Systemes mit dem CAA/RADE-Framework zur Anbindung von CATIA an das Daimler Produktmanagement-System Smaragd auf Basis von Teamcenter Enterprise/Engineering über Web Services. Architektur für Java-basierte PLMXML- und PLM Services XML Komponenten, Framework für Ressourcen-Erstellung und -Validierung, teilweise Implementierung komplexer Elemente. Randbedingung war die Anlehnung/Kompatibilität mit dem CMI-System von T-Systems (vor allem bzgl. Server-Anbindung und Bedienung).
3. Architektur/Review/Code Inspection eines verallgemeinerten PDM-Systems in C++ für beliebige Siemens PDM (zuvor UGS) Teamcenter Enterprise/ Teamcenter Engineering Systeme.
4. Architektur für Toolentwicklungen: PLMXML-Validator und Erweiterung der Continuous Integration Server Luntbuild/Continuum für CATIA/CAA, makechecksource, PMD, und andere Code Quality Tools. Benachrichtigung exakt der für Fehler verantwortlichen Entwickler (Subversion praise/blame) basierend auf Datei und Zeilennummer.
5. Architektur des neuen Daimler Common Engineering Clients (CEC), sowie in Teilen des Eclipse RCP-/RAP-basierenden Smaragd Rich Clients (alle in Java), der eine gemeinsame Basis für alle Rich Clients im Daimler-Konzern darstellt. Dort insbesondere Konzeptionierung auf Basis von Java der Web Service-, SOA-/ESB-Konzepte, dabei Service Data Objects (SDOs), Security mit Web Services Security, CA eTrust SiteMinder sowie dem Daimler Proactive Infrastructure (PAI) Framework, Higgins Framework. Weitere Schwerpunkte: RCP Multiuser-Betrieb, RCP Deployment, RCP Bundle Security, RCP Perspective Security, Credential Caching, Resource Pooling, JMS, Multithreading, RCP Printing (PaperClips Framework), GUI-Automatisierung mit XForms auf Basis eines eigenen RCP-XForms-Frameworks und Chiba JSP Framework sowie mit eigenem Code-Generator, VRML-/3D-/JT-Viewer auf Basis von Ogre3D/Ogre 3D, GUI/Reporting Libraries: swt (Standard Widget Toolkit), JFace, Jasper Reports.
6. Architektur eines allgemeinen Supplier Clients: Ein Java-Tool zum Mappen und Konvertieren/Transformieren diverser deklarativer Datenformate zwecks Integration in ein zentrales (PDM-)Repository. Konzeption einer eigenen Engine in Anlehnung an den WebSphere Transformation Extender (WTX). Wesentliche Datenformate: PLMXML, PLM Services XML, STEP/ProSTEP, VDAFS.


Qualifikationen:
IT-Umgebung Win32/Win64/x64/Unix, CATIA CAA, RADE, C++, Java 1.6/1.7, Eclipse RCP 3.4, Eclipse RAP 1.1, Java JEE-/J2EE, Groovy, Scala, ScalaCheck, UML-Tools Enterprise Architect/Borland Together, Visio, Subversion, Continuous Integration Server, XForms, PLM Services XML, PLMXML, Java Management Extensions (JMX), ITIL/SOA, ESB.
Tools: MS Visual Studio 2003/2005 mit .NET, Luntbuild Build Server, ant, maven, Continuum, Anthill, Cruise Control, CATIA CAA/RADE mit makechecksource, truc (Requirements Management), Lotus Notes, eclipse/JBuilder, Teamcenter Enterprise, Teamcenter Engineering.
Libraries: XML-Verarbeitung mit Apache XML Beans, Apache Digester, xstream, Saxon-Parser, xfire, stax, JibX, JAXB (Binding), JAXWS (Web Services), JAXM (XML Messaging), spring, log4j, jUnit, Eclipse RCP, Eclipse RAP, SWT (Standard Widget Toolkit), JFace, Jasper Reports, OpenJPA/JPA, Higgins Framework, PaperClips, Eclipse Nebula Widgets, Jetty http, jaxen XPath, Oracle TopLink, JCA (Java Connector Architecture, Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, Rich-Client, User-Interface-Programming, RCP, CAA, C++, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, JPA, Prozessanalyse, Versions-/ Konfigurations Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt
Deutsche Telekom, Darmstadt, Ulm, Nürnberg
5/2007 – 12/2007 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

5/2007 – 12/2007

Tätigkeitsbeschreibung

Projektziel Architektur/Erstellung von J2EE-Systemen: IT Security, Formular-basierte Anwendungen, JMS-Messaging-Systeme
Rollen Software-Architekt, Code-Generierungs-Experte, IT-Security-Experte, Entwicklung von Java-(EJB-)Webapplikationen, ca. 30 Mitarbeiter im Projekt:
Aufgaben 1. T-Online/T-Home: Entwicklung einer neuen Komponente zur zentralen Authentifizierung und Autorisierung mit JAAS-basierter Programmier-API für diverse Java-Anwendungen im Konzern mit entsprechenden Mechanismen zum Beantragen, Bewilligen und Entziehen von Rechten. Dies fand statt als Teil der Umstellungen auf eine ESB-Architektur (Enterprise Service Bus, Terminus von SOA/ITIL) sowie auf eine ESB-/SOA-/ITIL-basierte IT Service Struktur. Eine erste Anwendung war ein Tool zur Unterstützung/Automatisierung/Ver¬einheit¬lichung der Wartungsarbeiten und des Configuration/Build Management im Deployment-Team/Backoffice des früheren T-Online (heute T-Home), z.B. im Rahmen eines Konfigurations-Token-Tools, das es erlaubt, je nach Umgebung und Anbindung benannte Tokens mit den jeweils passenden Werten zu belegen, etwa für die Erstellung von Deployment-Descriptoren, services.xml, build.xml (ant/maven Konfigurationsdateien). Inversion of Control und Dependency Injection Prinzipien wurden mit Spring 2.x implementiert und es wurde auf die Datenbanken Oracle und MySQL zugegriffen. Einsatz von ClearCase, ClearQuest, Remedy für Configurations- und Aufgaben-/ Ticket-Verwaltung. UML- und Datenbank-Spezifikation mit Borland Together und Innovator 2007. Massendatenverarbeitung.
2. T-Systems: Requirements Engineering und Software-Architektur für RES (Realtime Enterprise Services), eine BEA-basierte neuentwickelte Plattform (WebLogic 9.2, ALSB: Aqualogic Service Bus 2.6), Oracle 10i, Nofilis Crosstalk (Edgeware) für Tracking und Tracing von beweglichen Einheiten wie Waren, Lkws, Pkws zum Management und der Kontrolle von Logistik-Ketten (z.B. Aufdecken von Diebstahl) mittels Barcodes und RFID: E-Mail-Services, Mapmatching-Algorithmen, WebService-/EJB/XML-Schema-Erstellung, SOAP-Konzepte (z.B. SAAJ, WS-I, WSIT), Sicherheitskonzept, Redundanz/Clustering/LoadBalancing, Testautomatisierung, Toolevaluation jMeter, The Grinder, HP Quality Center; Massendatenverarbeitung, Crystal Reports, OpenJPA/JPA.
3. Architektur und Weiterentwicklung eines bestehenden JSP-basierten Code-Generators (Template Engine); Erzeugung von ca. 1 Million Zeilen Code für die mittleren und tiefen EJB Tiers für eine formular-basierte Anwendung mit Workflow-Funktionalitäten und Oracle-Datenbankanbindung (DB, Hibernate, EJB, Business Logic, Reports), GUI: Swing JGoodies/AppFramework, JSF MyFaces Trinidat, Tobago, Tomahawk. Entwicklung eines Java-Parsers auf Basis von JavaCC/sableCC mit der Möglichkeit des Inputs von EJB-, Hibernate- und sonstigen Anweisungen in Java-Kommentaren, die dann bei der Code-Generierung entsprechende Wirkung entfalten.
4. Bundesbehördenprojekt: Eigene kleine ERP-Lösung: Mitarbeiterverwaltung, Bibliotheksverwaltung, Ressourcenverwaltung, Finanzierungs- und Stellenplanverwaltung, Sicherheitskonzept. MDA-basierte Generierungstechniken mittels Apache Velocity und JSP-basierter Template Engine in Anlehnung an JET (Java Emitter Templates) (open ArchitectureWare, AndroMDA, middlegen, ejbgen, xDoclet evaluiert und bzgl. Konzepten genutzt), Struts 2.x. Inversion of Control sowie Dependency Injection Prinzipien mit Spring 2.x, teilweise in EJB2/EJB3 mit DAOs, DTOs, POJOs, Validator-Framework, Form-Objekten, Object-Cashing/Object-Transfer-Assembly. Workflow-Funktionalität mit Zuständen, Vor- und Nachbedingungen, Datenbank-Anbindungen zu Oracle und MySQL. UML- und DB-Spezifikation über Borland Together und Innovator 2008. GUI-Support für JSP, JSF, JBoss Portal, JBoss Seam, JBoss RichFaces, MyFaces, ExtJS, Swing als RichClient. Als Vorbild und Migrationsbasis dienten vorherige Anwendungen in C#/C++.net (CLI) mit nHibernate/T-SQL/H-SQL bzw. LINQ-Funktionalität und Windows Forms GUI.

Qualifikationen:
IT-Umgebung BEA WebLogic, ALSB (Aqualogic Service Bus ? JMS/ESB Lösung), Oracle 10i, JSP/ JEE-/J2EE (Tomcat, JBoss, Bea Weblogic mit den Frameworks Struts 2.x/JAAS, AXIS 2, WSO2/WSF (Web Services Framework), Hibernate, Apache Commons/Jakarta, JBoss (J2EE), JBoss Portal, Java Management Extensions (JMX).
Tools: MID Innovator 2007/2008, Bea Workshop, Enterprise Architect 7.0 von Sparx Systems, XMLSpy, Polarion, Jira, BEA XML Spy, Stylus Studio, Polarion, Jira, Eclipse, Borland Enterprise Server, ant, maven, putty, WinSCP, TortoiseCVS, TortoiseSVN, Apache jMeter, The Grinder, Mercury Interactive WinRunner/TestDirector, Mercury QuickTest Professional ? jetzt HP Quality Center, HP QuickTest Professional, Oracle Sqlplus, TOAD, Squirrel SQL, Oracle JDeveloper, MS Visual Studio 2003/2005 mit C#.NET, CLI.
Libraries: POI ? Word/Excel/PDF Konvertierung, Batik SVG, jUnit, log4j, graphViz, Lucene, JDBC, Spring 2.x/Acegi, Struts 2.x, JavaMail, J2EE Connectors, JDBC, OC4J, Codecs, Activation, OpenJPA (Java Persistence API). JSF, Swing, JGoodies/ AppFramework, MyFaces (Trinidat, Tobago, Tomahawk), Hibernate / OpenJPA, XMLBeans, Saxon XML Parser / XSLT / XPath / XQuery, JavaCC, sableCC, Crystal Reports, ExtJS, JCA (Java Connector Architecture, Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, Rich-Client, User-Interface-Programming, Swing, SQL, HSQL, T-SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, OpenJPA/JPA, Prozessanalyse, Versions-/ Konfigurations-Management, Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt/SW-Engineer
Commerzbank, Frankfurt/Main, Berlin
10/2006 – 5/2007 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

10/2006 – 5/2007

Tätigkeitsbeschreibung

Projektziel Vereinigung der Vorteile von HBCI- und Geld-Karte durch Entwicklung entsprechender Treiber/Ansteuerungen (IT-Sicherheits-/IT-Security-Projekt). Auf dieser Basis war dann eine verteilte Autorisierungs-/ Zeichnungsberechtigungs-Lösung zu implementieren, mit der etwa ein Buchhalter Zahlungen vorfreigeben kann, um diese dann endgültig von höherrangigen Personen elektronisch freigeben zu lassen.
Rolle Software-Architekt und Entwicklung, IT-Security-Experte
Aufgaben Fachlich: Schaffen einer Möglichkeit der sicheren verteilten Authentifizierung und Autorisierung von Zahlungen mit bereits verbreiteten Geldkarten. Neben dem Erreichen des Ziels wurde diese Lösung auch CeBIT-2007-Highlight und kann z.B. online unter www.heise.de durch Suche mit dem Stickwort ?Commerzbank? und/oder ?Kobil? gefunden werden.
Technisch:
1. Zunächst Anpassung eines Beispiel-Programms als Proof of Concept. Dann Konzeption und Entwicklung eines ZKA-Signatur-API Treibers zur Ansteuerung von SIM-/SECCOS Smartcards/Chips (EC-Karten / Bankkarten mit Geldkartenfunktion) von G&D in C++/Java auf den Ebenen der APDUs, PC/SC, CCID, Smart Card File System, Smart Card File System und PKCS#11 in Mobiltelefonen und auf PCs unter Windows, unter Linux (gcc/gdb, shell) und unter Apple Macintosh/MacOS X/Tiger.
2. JNI-Interface; Ansteuerungsprogramme als Java Applets und Java Applications.
3. Unterstützungsfunktionen für das sichere Authentifizieren/Autorisieren elektronischer Einkäufe (eCommerce/ePayment) und das Nutzen der Smart Card für Verschlüsselung, Digitale Signatur und DRM (Digital Rights Management), z.B. für den sicheren Download und die kontrollierte Verwendung von elektronischen Inhalten. Im SIM-Karten-Format kann die Smart Card und die entwickelte Software auch in Mobiltelefonen für elektronische Einkäufe und IT Sicherheit genutzt werden. Die SECCOS Smart Cards werden von G&D produziert und gehören zu den wichtigsten und die am weitesten verbreiteten Smart Cards in der deutschen Banken Landschaft, wie z.B. EC-Karte / Geldkarte.


Qualifikationen:
IT-Umgebung Windows, Visual Studio klassisch und mit CLI C#/C++, Linux (g++/gcc/gdb, shell, xemacs), Eclipse und Apple Macintosh/MacOS X/Tiger, Xcode, Darwin, Jira, ant, make, Cardreader von Kobil, fltk, Pipe und Socket-Programmierung für Remote-Smartcard-Ansteuerung, JCA (Java Cryptography Architecture).
Damit abgedeckte Technolo¬gien UML/UML2, Java, OOA, OOD, OOP, C/C++, Refactoring, Reverse Engineering, CLI, g++, MacOS, Tiger, CCID, Sockets, RPM, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt über Team von 40 Leuten
BMW/Softlab, München
9/2006 – 12/2006 (4 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2006 – 12/2006

Tätigkeitsbeschreibung

Projektziel Entwicklung eines konzernweiten PDM-Systems mit CATIA-basierten Rich-Clients (CARISMA), so dass Konstrukteure alle relevanten Arbeiten aus ihrem CAD-System CATIA heraus vornehmen können. Weiterhin war der BMW-Ansatz vorgegeben, der besagt, dass alle ca. 14 Relationen innerhalb der CATIA-CAD-Dateien exakt so innerhalb der Dateistruktur bei Einbringung in das PDM-System erhalten bleiben und für andere Konstrukteure automatisch angepasst werden müssen.
Rolle Chef-Software-Architekt mit Governance-Funktionen für den CATIA-basierten Rich Client CARISMA des konzernweiten zentralen PDM-Systems (7 untergeordnete SW-Architekten, ca. 40 angeleitete Team-Mitglieder) mit russischen und indischen Teilteams; das Gesamt-PDM-Projekt hatte einen Budget von über 300 Millionen Euro und ca. 1000 Mitarbeiter (inclusive SAP).
Aufgaben Fachlich: Automatisierung/Optimierung des Produktentstehungsprozesses bei BMW und seinen Zulieferern im Bereich CAD/Konstruktion mit CATIA. Hierbei lag der Fokus auf der effizienten Koordinierung der Teilnehmer an Entwicklungsprojekten und insbesondere der effizienten automatischen Propagierung und Überprüfung von Konstruktionen und deren Änderungen.
Technisch:
1. Architektur/Konzeption eines Produkt-Daten-Management (PDM) sowie Wissensmanagement-Systems bei BMW basierend auf Plug-In-Konzepten und Service-Orientierter Architektur (SOA/ITIL) auf der Basis des CAD-Systems CATIA und der Oracle Datenbank. Massendatenverarbeitung.
2. Erstellung der Gesamt-Architektur und Koordination der Teams.
3. Architektur/Entwicklung des PDM-Rich-Clients CARISMA mit 40 Mitarbeitern als System von Plug-Ins für das CAD-Programm CATIA von Dassault Systemes mit dem CAA-Framework, RADE, Redundanz-, Backup- und Clustering /LoadBalancing Konzepte (Failover, Hot Standby) über Server-/DB-Clustering und RAID 1-5 Datenspeicherung mit Anbindungen an Oracle-Datenbank (PRISMA) sowie SAP-Backend über Java/JEE-/J2EE-WebServices/SAP NetWeaver mit BEA Weblogic Server parallel unter Win32 und AIX (IBM Unix).
4. Einführung Build Server mit Parasoft C++ Test und einem Warning/Error-Matching-System, subversion-Integration (blame) und E-Mailing-System auf Basis von C#/C++.net (CLI).


Qualifikationen:
IT-Umgebung Windows (Visual Studio klassisch und mit CLI C#/C++), Unix (gcc/g++), CATIA CAA, Oracle 9, SAP Netweaver (SAP backend via Java/J2EE web services), BEA Weblogic Server 9, Java Management Extensions (JMX), JCA (Java Connector Architecture, Java Cryptography Architecture), gSOAP/Web Services, SiteMinder, Rational Solution Architect, Visio, Subversion, Flyspray, Build Server mit Parasoft C++Test, ant, make.
Damit abgedeckte Technolo¬gien UML/UML2, Java, CAA, RADE, C++, CLI, Rich-Client, User-Interface-Programming, RCP, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Hibernate, JPA, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt
Medizintechnik/Health Care, Baden-Württemberg
2/2006 – 9/2006 (8 Monate)
nicht angegeben
Tätigkeitszeitraum

2/2006 – 9/2006

Tätigkeitsbeschreibung

Projektziel Weiterentwicklung von Produkten zur chirurgischen Navigation im menschlichen Körper (Knie-/Hüft-Operationen) mit simulierten 3D-Körperteilen, die auf Basis der realen Maße interpoliert/gemorpht wurden oder alternativ auf pixel-basierten CT-/MRT-Aufnahmen fußten.
Rolle Software-Architekt für 9 Mitarbeiter; ca. 40 Mitarbeiter im gesamten Entwicklungsbereich.
Aufgaben
1. Einführung einer Produktlinien-Architektur (SEI-Schule: DSSA/FODA sowie deren UML-basierte Weiterentwicklungen) im Bereich der chirurgischen Navigation mit eigener firewire-basierter Echtzeit-/Realtime-Kommunikation.
2. Alleinverantwortlicher SW-Architekt für den Bereich ?Imageless Navigation?, der chirurgischen Navigation mit modellhaften oder alternativ patienten-individuellen Röntgen-/C.T.-Bildern. Ermöglicht exaktere Knie- und Hüftoperationen ohne Patienten durch Strahlen zu belasten. Verantwortlich für zwei Teams (Knie- und Hüft-Software mit jeweils zwei Varianten, also 4 SW-Produkten) mit je ca. 5 Mitarbeitern im Knie- und im Hüft-Team sowie Offshore-Mitarbeitern in Indien.
3. Systematisches Refactoring bestehender Quelltexte zwecks Erzielung stark wieder verwendbarer Software-Komponenten nach neuen Architekturkonzepten.
4. Einführung einer Team-Entwicklungs-Kultur im Medizintechnik-Konzern: Verbesserung der Architektur, Refactoring, der Qualität und der Dokumentation von bestehenden Navigationssystemen mit den Konzepten ?Bad Smells in Code?, Refactoring und Redesign, Planung, Begleitung und Review der Arbeitspakete der Mitarbeiter.
5. Durchführung eines Test Process Improvement (TPI) Assessment und alleiniges Schreiben des TPI Assessment Reports mit Verbesserungs-Vorschlägen für das Management des Medizintechnik-Konzerns. Konzeption und Architektur für die schrittweise Einführung eines Test-Automations-Konzeptes mit Script-Sprachen (Python, Perl, JavaScript, QSA, .NET). Eine zusätzliche Schwierigkeit bestand darin, dass eine Reihe von Spezial-Hardware als Eingabe-Geräte für die Software als Input-Quelle integriert und koordiniert werden musste für die Umsetzung des Test-Konzeptes.
6. Beschleunigung von OpenGL-basierten Zeichenroutinen durch Nutzung neuer API-Funktionen und speziell optimierter Speicher-Strukturen (Streamlining).
7. Mitarbeit bei der Einführung der PTC Windchill PDM/PLM (Content- und Prozessmanagement) Software mit Windchill Workgroup-Manager für CATIA V5 zur Integration mit CAD-Dateien aus CATIA in das zentrale Produkt Daten Management System (PDM) / Product Lfe Cycle Management System (PLM)..


Qualifikationen:
IT-Umgebung Windows, IBM/Rational Tools (Rose, Purify, etc.) auf Basis von UML/MDA, Luntbuild, Jira, Perforce, MS Visual Studio, C++, MFC, Windows Forms, XAML, WPF/WinFX, Trolltech Qt, OpenGL, Perl, Python, Shellscript/Shell Programmierung, firewire, ant, make, PTC Windchill PDM/PLM, Windchill Workgroup manager for CATIA V5.
Damit abgedeckte Technologien UML/UML2, Rich-Client, OpenGL, Qt, Cross-GUI-Programming, signals/slots, User-Interface-Programming, OOA, OOD, OOP, Domain-Driven Design, Product Lines, 3D, fire wire, real-time-processing, Echtzeitverarbeitung, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt/SW-Engineer
Government (Dt. Bundesregierung/Bundesbehörden), Berlin
9/2005 – 2/2006 (6 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2005 – 2/2006

Tätigkeitsbeschreibung

Projektziel Integrierte Mobile Sicherheitslösung (mit Smartphones, Laptops)
Rolle Chef-Software-Architekt für Security-Backend; ca. 40 Mitarbeiter im Projekt mit 5 beteiligten Firmen.
Aufgaben
1. Treiber- und Applikations-Neuentwicklung für die nächste Smart Card Generation unter Win32 und PocketPC: Flash-Smartcards (Flash-Speicher + Krypto-Chip in Fingernagel-Größe), Card-Reader-Ansteuerung.
2. Flash-Smartcards (Gemeinsame Features der Flash-Speicherchips und Kreditkarten-artigen Smart Cards, java card): Entwicklung von JavaCard-Applikationen/Cardlets für Smartphones: Ver-/Entschlüsselung, Signierung, Seriennummern, Speichern/Verwalten von PINs, PIN Generator, TANs, Passworten, (Zugriffs-) Rechteverwaltung, Digital Rights Management (DRM), Speichern von (personenbezogenen) Daten, Speichern von Credentials/Trust Chain Informationen, Challenge-Response, Hash-Chains/Hash-Seeds.
3. APDU-Pakete erstellen und analysieren (PocketPC JavaCard Cardlets) via Win/Unix scard, PC/SC, OpenSSL, DLL Wrapper.
4. Lebenszyklus-Funktionen einer Smart Card mit Lebens-Zyklus-Übergängen, Einrichten und Schützen von Hersteller-/Integrator-Security-Domänen.
5. Einsatz/Anpassungen in Projekten mit der Bundesregierung (Referenzkunde für VPN- und Systemverschlüsselung), Utimaco, NCP, T-Systems, DATEV, Schering, Sparkassen-Organisation, Kooperation mit / Dokumentation für CERTs wie CERT-Bund
6. Integration mit VPN, sicherer Bezahlung/eBanking, sichere Authentisierung, sichere Datenübermittlung. Anschließend gemeinsamer Vertrieb und Weiterentwicklung in Richtung Electronic Content Download/Anzeige/Abspielen (eBooks, MP3, Movies, Bilder) mit starker Verschlüsselung.


Qualifikationen:
IT-Umgebung PocketPC / Windows Mobile / Embedded Systeme wie auch Win32 mit ASPECTS Studio, Sun Smart Card Toolkit und MS Visual Studio 2005 (CLI C#/C++) / Visual Studio Embedded 4.0 (C++) mit MMC-/SD-Karten des Hitachi-Konzerns, Technologien: PKCS#11, PKCS#12, PC/SC, Winscard, openssl, APDU-Pakete; Windows Netzwerk, MS ISA Server, Linux Netzwerk, L2TP, PPTP, Active Directory, X.500, X.509, LDAP, RIM/Blackberry, Push E-Mail, Content Push, WLAN, Skype, VoIP, Utimaco Tools, NCP VPN, SSL, Cryptophone, Informationssicherheit, ant, maven, make.
Damit abgedeckte Technolo¬gien UML/UML2, Java, C/C++, C#.NET, OOA, OOD, OOP, Refactoring, Reverse Engineering, CLI, g++, CCID, Sockets, PocketPC, WinCE, Sun Smart Card Toolkit, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.


SW-Architekt/SW-Engineer
AMB Generali Gruppe, ca. 60 000 Mitarbeiter, Berlin
9/2005 – 2/2006 (6 Monate)
nicht angegeben
Tätigkeitszeitraum

9/2005 – 2/2006

Tätigkeitsbeschreibung

Projektziel Architektur, Entwicklung und Betrieb eines Online-Versicherungs-Vertriebsportals mit Affiliate-Produkten.
Rolle Software-Architektur, Projektmanagement und teilweise Implementierung, ca. 10 Mitarbeiter.
Aufgaben Fachlich: Entwicklung eines Webportals mit Frontend und Backend zum Vertrieb von Versicherungsprodukten zusammen mit Affiliate-Produkten/-Marketing-Maßnahmen sowie deren Abrechnungen (Provisionen, Versicherungsgebühren, Automatisierung ein- und ausgehender Überweisungen)
Technisch:
1. Komplettübernahme aller Entwicklungsarbeiten am Webportal und an der Abrechnungssoftware: Konzeption, Refactoring, Implementierung und Unterbeauftragung von Arbeiten. Retten dreier vorher gescheiter Ansätze, insbesondere in Puncto Abrechnungsfunktionalitäten; Einarbeitung in undokumentiertes System/Troubleshooting ab dem ersten Tag. Massendatenverarbeitung.
2. Neu- und Weiterentwicklung des Portals auf Basis eines professionellen Ansatzes mit Typo3 CMS, Shopsystem, Newsletter, Finanzbuchhaltung, Direktmarketing/CRM via MS Exchange.
3. Entwicklung von Web Services (WSDL, SOAP, CGI, PHP, .NET, HTML/CSS) zu anderen Shops, z.B. auf Basis von osCommerce und diversen JSP-/J2EE- und .NET-basierten Sytemen (via CLI) sowie Paypal, Anbindung an verschiedene Banken (z.B. Postbank, Sparkassen) über DTAUS-Dateiformat. Erstellung und Versendung der Abrechnungen im PDF-Format und Erstellung daraus resultierender automatischer Gutschriften.
4. Backup-Konzept, Clustering, Fail-over-System, Deployment, Roll-out, ITIL/SOA, RAID 1-5 Datenspeicherung.
5. Entwicklung eines aufwändigen vollautomatischen Abrechnungssystems (eigene neuentwickelte Billing Engine auf Konzepten der Finanzmathematik mit großem Modul zur Provisionierung des Versicherungsverkaufs nach Standards der Versicherungswirtschaft/Versicherungsmathematik: Lebensversicherungen, Krankenversicherung, Pflegeversicherung, Haftpflichtversicherung) mit Provisionierung über 4 Stufen und jeweils mit echtem und virtuellem Geld: Erfassen von eigenen und Partner-Produktverkäufen.
6. Informationsaufbereitung/Tagging über DITA (Darwin Information Typing Architecture)


Qualifikationen:
IT-Umgebung Webportal auf LAMP-/XAMP-Basis (Linux Apache MySQL PHP): MS Visual Studio 2005 (CLI C#/C++), Windows Netzwerk, MS ISA Server, Linux Netzwerk/Linux Webserver, File Server und Datenbankserver/DB-Server, ant, maven, phpMyAdmin, OpenOffice Serienbrieffunktion.
Libraries: Symfony, Smarty, SimpleXML, Pear.
Damit abgedeckte Technolo¬gien UML/UML2, Java, User-Interface-Programming, PHP, SQL, OOA, OOD, OOP, Domain-Driven Design, CGI, WSDL, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, JEE, DTAUS, DITA, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit)Testing, MS Office, MS Project, MS Word, MS Outlook, MS PowerPoint, MS Excel, automatische Serienbrieferzeugung.


SW-Architekt/SW-Engineer
Telematik/Verkehrsleitsysteme, Aachen
7/2005 – 9/2005 (3 Monate)
nicht angegeben
Tätigkeitszeitraum

7/2005 – 9/2005

Tätigkeitsbeschreibung

Projektziel Architektur/Konzeption und Entwicklung eines neuen Anzeigensystems für Fahrpläne an Haltestellen/Bahnhöfen/Flughäfen
Rolle Software-Architekt und Implementierung, ca. 30 Mitarbeiter im Projekt.
Aufgabe Eigenverantwortliche Architektur und Entwicklung einer Haltestellen-Rechner-Funktionalität auf Basis eines Altsystems als Java-basierte Applikation mit Treiber für die Ansteuerung aller gängigen Anzeiger (Abfahrten, Linienpläne) für Haltestellen, Bahnhöfe, Flughäfen. Besondere Features: Unterstützung mehrerer Protokolle zu den Anzeigern und Kommunikation zu Leitstellen-Systemen auf JEE-/J2EE-Basis mit mehrfachem Multithreading auch im Haltestellenrechner und in den J2EE-basierten Leitsystemen (Sende-/ Empfangs¬threads, Verarbeitungs-/Protokollumsetzungsthreads, Scheduling, Message Queuing).


Qualifikationen:
IT-Umgebung JBoss, Eclipse, Java Beans/EJBs: (Stateful/stateless) Session Beans, bean-managed persistence (BMP), container-managed persistence (CMP), stateless beans, entity beans/JavaBeans, Oracle DB-Server, UML-Dokumentation mit Visio, ant, maven.
Damit abgedeckte Technolo¬gien UML/UML2, Java, SQL, PL/SQL, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, RelaxNG, XSLT, XPath, XQuery, SOA, EAI, Oracle, JEE, J2EE, EJB, Visio, Serieller Port, USB, Hibernate, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, (Unit-) Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.


Security-Experte
Diverse, Homeoffice
1/2005 – 3/2014 (9 Jahre, 3 Monate)
IT-Security: Sicherheitsanalysen, Sicherheitskonzeptionen
Tätigkeitszeitraum

1/2005 – 3/2014

Tätigkeitsbeschreibung

IT-Security: Sicherheitsanalysen, Sicherheitskonzeptionen, Erstellung von Zertifizierungs-Dokumenten (BSI Grundschutz, ISO 2700x, Common Criteria), Vorbereitung von Sicherheits-Abnahmen/-Zertifizierungen.
Projektziel: Sicherheitsanalyse und Konzeption (verschafft mir nebenbei auch einen großen Überblick über aktuelle Real-World-Architekturen).
Typische Aufgaben: Alleinstellungsmerkmal: Eigenes MS-Excel-Framework für die schnelle architektur- und situationsabhängige Ermittlung von priorisierten Gefährdungen und Gegenmaßnahmen (Architektur/Regeln/Policies) basierend auf einer Datenbank von ca. 3000 Angriffs-Vektoren und ca. 10 000 Gegenmaßnahmen. Hieraus lassen sich schnell Sicherheitskonzepte erstellen, die darstellen, wie sich ein gegebenes Sicherheits-Budget optimal für die Umsetzung der relevantesten Gegenmaßnahmen einsetzen lässt. Dies ist wiederum der wesentliche Input für Sicherheitszertifizierungen nach Common Criteria/BSI Grundschutz, ISO 2700x, etc. Ein einfaches Sicherheitskonzept mit mehreren hundert Maßnahmenem-pfehlungen lässt sich so schon mit einer Woche Arbeitsaufwand erstellen.
Typische fachliche Aufgaben: Identifikation zusätzlicher empfohlener Sicherheits-Maßnahmen, Konzeption sicherer Software- und Netzwerk-Architekturen, Entwicklung von Rechtekonzepten, Shop Absicherung, (teil-automatisiertes) Penetration Testing, Erarbeitung der Architektur/Unterlagen für Sicherheits-Zertifizierungen, Sicherheits-Schulungen, Entwicklung von Smartcard bzw. Krypto-Software.
Konkrete Kunden & Aufgaben:
1. Auswärtiges Amt, 2014: Konzeption der SOA-Strategie als Berater des IT-Architekten, insbesondere zu den diversen Anwendungen, die die zentralen IT-Systeme des Auswärtigen Amtes ausmachen sowie deren sichere und effiziente Anbindung (Datensparsamkeit/Kompression, Latenz, Caching) an die vielen hundert Botschaften.
2. Fiducia/VR-Gruppe (Volks- und Raiffeisen-Banken), 2014: Erstellen eines Fachkonzept und einer Architektur zur Passworterweiterung von 8 auf bis zu 20 Stellen konzernweit, d.h. für alle Banken und Versicherungen. Teilschritte: Einführung des PassTicket-Systems für RACF mit eigener besonders abgesicherter Implementierung zur Umgehung der Begrenzung der Passwortlänge auf 8 Zeichen bei RACF. Einführung des VR-eigenen IAM-Systems (Identity und Access-Management) MIAMI mit Anbindung an den Oracle Enterprise Directory Server (OEDS) als zentralen LDAP-Server. Migrationskonzept für alle migrierbaren Applikationen weg vom RACF mit DB2 und Unix System Services (USS) hin zu OEDS incl. Migration der LDAP-Inhalte mit Berechtigungen, (Technische-) User-Kennungen, Gruppenmitgliedschaften. Erstellung eines Konzeptes zur Anpassung der internen Daten- und Steuerungsflüsse per WebServices, RMI, EJB, SSL-Verbindung oder DCOP sowie der betroffenen APIs und Web-Anwendungen.
3. Trost SE Autoservice Fahrzeug-Teile-Großhandel: IT Systemarchitektur analysiert und kurz-/mittelfristig optimiert, Big Data Ziel-Architektur mit Hadoop sowie Virtualisierungs-Konzept erstellt.
4. Bundesarchiv, 2013: Konzeption der Architektur des neuen BASYS (B+E)-Systems zur internen Archiv-Verwaltung mit Schwerpunkt auf JEE Architektur, Big Data Architektur-Variante (Hadoop, Giraph), Security, Berechtigungen, Oracle DB-Modell, Graph-Datenbank (neo4j/Giraph), JavaFX 2 sowie Change Management.
5. Deutsche Post/DHL, 2012: Sicherheitskonzeption der neuen Paket-IT-Systeme (Netzwerk, Software): Modellierung der Assets (HW + SW), Erweiterung der Datenbank mit Gefährdungen/Gegenmaßnahmen und Erstellung der Modellierung der konkreten Wahrscheinlichkeiten/Erwartungswerte dafür bei gegebenen Grund-Architektur; Generierung eines Reports mit nach Kosten-Nutzen-Verhältnis sortierten Gegenmaßnahmen und den damit neutralisierten Gefährdungen.
6. Parfumdreams.de / Akzente Parfümerie, 2012: Analyse der Software- und Hardware-Umgebung, Penetration-Testing, Erstellung angepasster Modelle für Gefährdungen/Gegenmaßnahmen und Generierung eines Reports mit nach Kosten-Nutzen-Verhältnis sortierten Gegenmaßnahmen und den damit neutralisierten Gefährdungen.
7. Deutsche Bahn, 2012: Teilnahme an Security-Workshops als Fachexperte für sichere Webservices und sichere Intranet- und Internet-Netzarchitekturen. Erstellung von Architekturvorlagen und Bausteinen („Bebauungspläne“) für sichere Netzwerke, sichere Bezahlsysteme (PCI-DSS Zertifizierung) und Webservices.
8. Deutsche Telekom/T-Systems, 2010-2011: Sicherheitsarchitektur für De-Mail / Vorbereitung der Zertifizierung nach BSI Grundschutz in der höchsten Stufe.
9. Bank Julius Bär, 2010: Identity & Access Management System (IAM): Konzeption eines eigenen verfeinerten Rollen- und Rechtekonzeptes für Portfolio-Manager, Kundenbetreuer, Backoffice-Mitarbeiter, etc. mit Features zur Rechte-Delegation, Krankheits-Vertretung, Rechte-Vererbung, Chef- und Sekretärinnen-Funktionalität, bankfachliche Regeln zur Rechte-Ausweitung oder –Einschränkung, Abgrenzung der Daten der jeweiligen Nationen gegen Einsichtnahme von anderen Nationen aus.
10. Postfinance, 2009: Konzeption/Weiterentwicklung eines Identity und Access Management Systems (IaM).
11. Commerzbank, 2008: Konzeption/Implementierung von sicheren Webservices zum automatischen Abgleich von Zahlungs- und Konten-Daten mit anderen Banken bzw. Zahlungsdienstleistern (PCI-DSS Zertifizierung).
12. Deutsche Telekom/T-Online, 2007: Konzeption/Entwicklung eines Identity und Access Management Systems (IaM).
13. Airbus, 2004-2005: Sicherheits-Architektur für die Airbus A380-Kabinen-Netzwerke; Vorbereitung einer Zertifizierung; Datenbank-basierte Modellierung der Gefährdungen/Gegenmaßnahmen nach BSI Grundschutz und Common Criteria (CC).
Typische Skills Typische technische Aufgaben/Tools/Protokolle/Prozesse:
Standards für Konzeption und Zertifizierung: Common Criteria, BSI Grundschutz mit Common Criteria Toolkit/GSTool.
Protokolle & zugehörige Tools: SSH, SSL, VPN, L2TP, PPTP, Challenge-Response, Diffie-Hellman Schlüsselaushandlung.
Verschlüsselungs-/VPN-Tools: Cisco, Utimaco, GnuPG/GPG, Secude, NCP, OpenVPN, StrongSwan/FreeSwan, OpenSSL, PuTTY, WinSCP.
Krypto-Algorithmen: Blockverschlüsselung (3DES, AES/Rijndael, Twofish), Public-Key-Verschlüsselung (RSA, IDEA, Ellipt. Kurven), Digitale Signatur (RSA, DSA, ECDSA, El Gamal), Hashing/HMAC (SHA1/2/3, RC4, MD5, Salting).
Smartcards: Signaturgesetz-Karten (z.B. TCOS), SECCOS (Geldkarte), neuer Personalausweis (nPA), elektronische Gesundheitskarte (eGK), JavaCard, Flash-Smartcards (G&D, Certgate). Konzepte: PKCS#1-15, PC/SC, APDU, DF/ EF, WinSCard, Scard, CCID, RFID.
Sicherheits-Standards: ISO 2700x, Open Source Security Testing Methodology (OSSTMM), OWASP Testing Guide, Web Application Attack and Audit Framework (W3AF), BSI Sicherheitsbausteine (WebApp-Baustein basiert auf/integriert ÖNORM A 7700), PCI DSS (Kartenterminals, Smartcards, Bezahlsysteme), WS-Security, WS-Trust, WS-ReliableMessaging, WS-Policy, WS-Federation, XML-DSig, XML-Crypt, XaDES, PKCS#1-15, CMS, viele Netzwerk-Protokolle nach RFC, S/MIME, PDF-Crypt, PDF-Sign, TIFF-Sign.
IAM/SSO/Authentication Protokolle/Tools: HTTP Auth, SAML 2.0, OAuth 1.0a/2.0, Siemens DirX, Atlassian Crowd, CA Siteminder, Active Directory (AD/AM, AD/FS, etc.), SAP Identity & Access Management, Daimler PAI, Spring Security, Shibboleth, OpenID, OpenAM/OpenSSO.
Sonstige Tools: Samhain, Tripwire, T-Systems SIUX, Windows File Protection / System File Checker (sfc).
Security Scanner & Penetration Testing/Hacking Tools: MetaSploit, Burp Suite, NeXpose, Nessus, Nmap, Acunetix-Websecurity Scanner, PeakflowX von Arbor, NTOSpider, NTODefend (DAST Tools), Skipfish, Fuzzing Tools, Burp Nessus, SoapUI (für WebServices), Core Impact,, Google Skipfish, OWASP WebScarab, JBroFuzz, Zed Attack Proxy (ZAP), Scrubbr, SQLiX, Paros Proxy, IronWASP, W3AF, Syhunt Mini, N-Stalker, Watobo, VEGA, Netsparker, Andiparos, ProxyStrike, Wapiti, Grendel Scan, arachni, WebCruiser, JSky, jScan, ProxyStrike, PowerFuzzer, Sandcat, Ammonite, safe3wvs.
Sonstiges Netzwerk-Sicherheit: Cisco ASA (VPN/Gateway), strongSwan, Brocade Encryption Switch, Thales TEMS, Sun XFS, Oracle RAC, Oracle Coherence, Luna SA Box, Utimaco LIMS mit Gateway, Vmware Virtualisierung, Viren- & Malware Scanning, Web Application Firewalls (WAF), Identity Enabling Services (IDES), managed Security Information and Event Management (mSIEM), Network Intrusion Detection Systems (NIDS), One Time Password Tokens (OTP), Lifetime Key Management (LKM), Lawful Interception Management System (LIMS), Load Balancer (LB), Hardware Security Modules (HSM), Soft-PSE (Personal Security Environment), NAT-Traversal, DMZ (Demilitarized Zone), Advanced Mezzanine Card (AMC), TCOS 3.0, X.509 und Triple Key Zertifikate, DNSSEC, DCF77/Funkuhr, NTP, Business Continuity/Disaster Recovery.
Web Application Firewalls (WAFs): Imperva SecureSphere, DenyAll rWeb, F5 ASM, Barracuda 660, Citrix Netscaler, SourceFire 3D, Apache ModSecurity (mit gener. Rules von z.B. NTODefend/OWASP).


System-Architekt, IT-Security-Berater
Airbus, Hamburg
8/2004 – 7/2005 (1 Jahr)
nicht angegeben
Tätigkeitszeitraum

8/2004 – 7/2005

Tätigkeitsbeschreibung

Projektziel Konzeption der Kabinen-IT-Systeme und IT-Security-Assessment (Alleinverantwortung für A380-Kabinen-Infrastruktur-Security sowie deren Server-Systeme)
Rollen System-Architekt, IT-Security-Experte, ca. 10 Mitarbeiter im Teilprojekt. Gesamt-A380-Engineering-Projektgröße: Ca. 8000 Mitarbeiter bei Airbus + ca. 20 000 Mitarbeiter bei Lieferanten, Budget: Ca. 20 Milliarden Euro.
Aufgaben Fachlich: Sicherstellen des reibungslosen Funktionierens der Netzwerk-Infrastruktur , der Wartungs- und Diagnose-Systeme sowie der IT für automatisches Aufsetzen nach einem Einbau/Austausch einzelner Systeme/Re-Konfiguration. Schaffen einer Basis für In-Flight-Entertainment (IFE), zollfreies elektronisches Einkaufen im Online-Shop der Fluglinie sowie Internet-Zugang (Mail/Web) und elektronische Bezahlung (Billing) während des Fluges.
Technisch:
1. Konzeption/Architektur von Netzwerk-Infrastruktur und IT-Diensten mit Schwerpunkt auf IT-Sicherheit und Performance-Optimierung. Konzeption der Java/J2EE-Architektur auf Basis von JBoss/Tomcat für die zentralen Wartungs-/Fehler-Analyse- und Konfigurations-Systeme, Internet-Zugangs- und Billings-Software sowie Fluggast-Informationssysteme und Toll-Free-Shop-Systeme mit Sybase PowerDesigner, UML, Visio.
2. Durchführung von IT-Sicherheits-Abschätzungen, Analysen und Zertifizierungs-Vorbereitungen nach dem internationalen Common Criteria (CC) Schema für IT Security (weil die konkreten Details erst mit den jeweiligen Flugzeugbestellungen festgelegt werden). Arbeit an sicheren Java Entwicklungsvorgaben.
3. Systemkonzeption nach DO-178B Level D/E im Kabinen-Bereich nach den Avionik-ARINC-Standards sowie Schnittstellen und Datenquellen aus dem Avionik-Bereich nach DO-178B Level A-C. Konzeption und Einsatz der Verlässlichkeits- und Redundanz-Standards nach DO178B, die wiederum alle wesentlichen SW-Engineering-Standards mit entsprechendem Fokus beinhalten. Internet-/Intranet-Technologien (TCP/IP, SMTP, POP3, IMAP, Ethernet, Router, Switch/VLAN, Bridge, VPN, PKI, X.500), PC-Anywhere, SSH, Utimaco, NCP VPN, L2TP, PPTP.
4. Konzeption und Umsetzung einer Datenbank für alle Informationen zu Datenflüssen und zur Security-Analyse nach Common Criteria (CC) sowie mit BSI Grundschutz-Handbuch-Elementen und der Airbus-Erweiterung System Vulnerability Analysis (SVA) - einer Erweiterung von CC auf Basis von DO-178B und entsprechenden Wahrscheinlichkeits- und (Rest-)Risiko-Bewertungen. Beim SVA-Ansatz werden alle Funktionalitäten/Werte, Ereignisse und Gegenmaßnahmen nach Wahrscheinlichkeiten zu einer Gesamt-Kosten-Nutzen-Abschätzung zusammengeführt. Konzeption mit Sybase PowerDesigner und Realisierung in MySQL mit PHP-basiertem Web-Interface (PHPMaker) und parallel in MS-Access.
5. Intensives Requirements Engineering für Anforderungen im Netzwerkbereich des gesamten Kabinennetzwerkes; Halten einer effizienten erweiterbaren Architektur trotz starkem Druck von Nachbarabteilungen zu häufigen Veränderungen der Anforderungen aufgrund neuer Wünsche.
6. Vorbereitung (Unterlagenerstellung: Anforderungen, Systemarchitektur), Durchführung von Marktanalysen und Ausschreibungen und Nachbereitung/Evaluation der eingegangenen Resultate sowie Lieferanten-Koordination und Lieferanten-Betreuung: Architekturoptionen, Performance, IT-Security, wirtschaftliche/vertragliche Aspekte.
7. Mitarbeit an Konzepten zur sicheren automatischen Konfiguration von ausgewechselter Hardware von einem neutralen Auslieferungszustand aus anhand von eingestellten Hardware-Kennungen, sicheren Bootbereichen (Flash/smart card) und zentralen Konfigurations-Servern.
8. Mitarbeit an Konzepten zum zentralen datenbank-basierten Sammeln/logischem Zusammenführen und Analysen/Auswerten von Log-, Trace- und Fehlermeldungen sowohl im interaktiven wie auch im passiven Modus. Auf dieser Basis wurden dann automatisch Handlungsempfehlungen wie der Austausch oder der Reboot einzelner Komponenten oder Dienste abgeleitet, die dann - soweit möglich - auch automatisch umgesetzt wurden. Massendatenverarbeitung.


Qualifikationen:
IT-Umgebung Win32/Linux/Solaris: Java/J2EE, PHP
Tools: JBoss/Tomcat, Sybase PowerDesigner, Visio, MS-Access, MySQL, PC-Anywhere, Utimaco-Tools, VPN, NCP VPN, X.500, ant, maven.
Protokolle: TCP/IP, SMTP, POP3, IMAP, SSH/SSL, L2TP, PPTP
Technologien: Netzwerk-Konzeption, Ethernet, Router, Switches/VLANs, Bridges, PKI, DO-178B, CC (Common Criteria), SVA (System Vulnerability Analysis).
Damit abgedeckte Technolo¬gien UML/UML2, Java, C++, ARINC, RFCs, OOA, OOD, OOP, Domain-Driven Design, WebServices, SOAP, XML, DTD, XSD, SOA, EAI, Oracle, JEE, J2EE, EJB, Prozessanalyse, Versions-/ Konfigurations-Management, Logging, Tracing, Error Handling, Debugging, Testing, MS Office, MS Word, MS Outlook, MS PowerPoint, MS Excel.


Ausbildung

Informatik mit NF Elektrotechnik
(Diplom-Informatiker)
Jahr: 1999
Ort: Kaiserslautern

Qualifikationen

Meine fachlichen Schwerpunkte:
1. KI (Künstliche Intelligenz) / AI (Artificial Intelligence): Studienschwerpunkt und fast 30 Jahre Erfahrung in allen Feldern, insbesondere im Deep Learning (TensorFlow etc.), Machine Learning, NLP (Natural Language Processing)/Computerlinguistik.
2. Big Data (Spark, Hadoop, Kafka, Cassandra) / Data Science / BI: Fraud Detection, Advertising, Smart Functionalities
3. Cloud: Docker, Kubernetes, Kubeless, Google Cloud Platform (GCP), vmWare, Citrix, Amazon EC2, AWS, OpenStack, OpenShift, Cloud Foundry, MS Azure
4. Microservices/APIs/Serverless: DDD, Evolutionary Architecture, Versionierung, Schnittstellen- und Protokoll-Design, EAI.
5. Enterprise Application Integration (EAI): WebServices, Messaging, Batch, In-Memory Frameworks, ESBs, Async Frameworks, Business Rules/BPM(N), Integration verschiedener Technologien wie Unix, Host, Windows, Mobile Platforms.
6. Mobile Apps / Mobile First Architecture: HTML5, Ionic / Angular, Cross-Platform und Native Frameworks in Java, Scala, C++, C# oder Objective C/Swift.
7. Hochverfügbarkeit: Business Continuity Management (BCM), Reliability Engineering, Desaster Recovery (DR).
8. Business-Process-Optimierungskonzepte
9. Effizientes Beenden von Problemprojekten (mit eigenem Tracing & Analyse-Toolset) sowie Neu-Strukturierung von Problemprojekten.

Meine Projekt-Rollen – am liebsten möglichst innovativ/kreativ:
1. Architektur: Enterprise IT, Big Data, Cloud, Messaging, APIs, Proofs of Concept (PoC)
2. IT Sicherheit, eigene IT-Security-Datenbank: Konzepte, Rechte & Rollen, Pen-testing, Logging/Monitoring/IDS/IPS, Entwicklung, Reviews, Incident Response aber KEINE Administration
3. Projektleitung/Testleitung, Product Owner: meist im Anschluss an Architektur
4. Agile: Coaching / Risiko-minimierende Einführung/Verbesserung / Product Owner: Design Thinking, Work Hacks, Scrum, ScrumOfScrums, Kanban, DAD, Crystal, Cynefin, Scrum@Scale, SAFe, LESS, Nexus, Use Case 2.0, Learn Startup, Serverless, Holacracy/Pitching Framework und klassische Prozesse: V-Modell XT, RUP/EUP, PRINCE2, ITPM, PMI, IPMA
5. Schulungen: Big Data und IT Sicherheit
Nur gelegentlich Entwicklung (20%): Java, Scala, Python, C/C++/C#, PHP, Visual Basic/VBA, SQL/HQL in PoCs – GUI-Entwicklung hat den geringsten Anteil (Backend / Fachlichkeit bevorzugt).

Branchen: Alle, Schwerpunkte: eCommerce, Gesundheitswesen/Pharma, Banken/Versicherungen, Telko, öffentl. Sektor, Elektronik/Technologie/Industrie, Transport/Automotive, Energie, Verlage.

Über mich

Philosophie
Erfolgsorientiert: Jedes professionell finanzierte Projekt effizient zum Erfolg gebracht in 15 Jahren Berufserfahrung und ca. 20 Jahren IT-Erfahrung.
Bewiesene Fähigkeit zum Schaffen und Patentieren von einmaligen Produktvorteilen / Alleinstellungsmerkmalen (USPs).
Sehr selbständiges unternehmerisches Arbeiten, wenig Einarbeitung benötigt/schnell produktiv im neuen Thema, sachlich/fair im Umgang sowie Soft Skills. In der Folge durchgängige hohe Auslastung, lückenloser 15-jähriger Track-Record.

Erfolge:
Architekt in den wohl 4 wichtigsten deutschen IT-Projekten der letzten Jahre: Elektronische Gesundheitskarte (Gematik), elektronischer neuer Personalausweis nPA (Bundesdruckerei), De-Mail (sichere vertrauliche E-Mail mit gesetzlicher Signaturfunktion und Gleichstellung zum eingeschriebenen Brief, Dt. Telekom) und das Mobile-Security-Projekt SIMKO der Bundesregierung. Dadurch, dass ich häufig für die IT-Security-Aspekte von Architekturen hinzugezogen werde, habe ich mit ein Vielfaches von Real-World-Architekturen gesehen im Vergleich zu normalen Architekten.

Referenzen: Deutsche Bundesregierung, 11 DAX30-Unternehmen (Dt. Bank, Commerzbank, Dt Börse, Dt. Telekom, Dt. Post/DHL, Daimler, BMW, VW, TUI, ThyssenKrupp, Allianz/Dresdner Bank), 20 internationale Großkonzerne (Vattenfall, Thales, Airbus, stryker, B. Braun, Alliance Boots/MegaPharm, Generali, Sal. Oppenheim, Sparda Bank, Noris Bank, Citigroup, Lloyds Banking Group, PostFinance, Bank Julius Bär, Schwäbisch-Hall; Deutsche Bahn, Verlagshäuser: Holtzbrinck, Rentrop und Haufe/Lexware; European Patent Office).
8 erteilte Software-Patente im Security-Bereich (sichere unscheinbare Kommunikation/Textbasierte Wasserzeichen, z.B. für eBooks). Die Patente wurden in allen wichtigen Industriestaaten erteilt (USA, Kanada, Europa) und von IBM, Sybase, Amazon und Intel als wichtiges Basispatent referenziert/lizenziert.

Schwerpunkte
Software Engineering (hauptsächlich System-Architektur, Software-Architektur, Projektmanagement: Projektleitung, Prozesse, Coaching), Betriebsoptimierung, Prozessoptimierung: Konzeption, Erfassung/Assessment und Optimierung von IST-Zuständen/Geschäftsprozessen, Requirements Engineering, Sicherheits-/Prozessreife-Zertifizierungen, Qualitätsstandards, MDA / UML, Service-Orientierte Architektur (SOA), Code-Generierung mit UML-Tools und Template Engine, OOA/OOD, Requirements Engineering, aber auch Programmierung und hardwarenahe Entwicklung (Embedded).

IT-Security: Identity Managementsysteme, WebService Security, Informationssicherheit, Smart Cards/Chips, VPN, Firewalls, Aufdecken von Quellcode-Schwachstellen, E-Mail-Sicherheit, S/MIME, Kryptographie, Watermarking, Common Criteria, BSI Grundschutzhandbuch (GHB), Vulnerability Analysis, Penetration Tests, Trust Center.

Programmierung: Java und C++/C# - klassisch und .NET/CLI, eCommerce (J2EE: BEA ALSB/WebLogic, WebSphere, WebSphere MQ, Tomcat, JBoss, Jonas, Tomact, JMS, AXIS, Struts, Spring, XML/XSD, SOAP, UDDI, WSDL, JSP, JMX), .NET (Visual Studio 2005/2008, LINQ, WPF, XAML, Windows Forms), Groovy, Scala, ScalaCheck; auch: PHP, Perl, Python, Shell (Unix (tcsh, ksh, bash)/Windows/MacOS).

Datenbanken: Oracle, DB2, MySQL, PostgreSQL, SQLite, MS SQL Server 2005/2008, MS Access auch via Hibernate, OpenJPA, JDBC, LINQ, Aqualogic data services platform (XQuery), etc.
Wissensmanagement, Dokumententechnologien (CMS, DMS, PDM), Text Mining, Web Mining, Data Mining, Business Intelligence, Reporting, Management Information Systems (MIS), Competitive Intelligence, Computerlinguistik, etc.

Elektronik: Diverse Netzwerk- und Datenprotokolle und Steuerungssysteme: TCP/IP, Firewire, USB, Bluetooth, ARINC-Protokolle, MIL-Protokolle, serielle/parallele Protokolle.
Erfolgreiche Führungserfahrung: Z.B. ca. 40 angeleitete Mitarbeiter bei BMW/Softlab; Bis zu einem Dutzend angeleitete Mitarbeiter im eigenen Technologie-Unternehmen.

Branchen
Banken, Versich., eCommerce, Healthcare, Energy

Persönliche Daten

Sprache
  • Deutsch (Muttersprache)
  • Englisch (Fließend)
  • Französisch (Fließend)
Reisebereitschaft
Weltweit
Arbeitserlaubnis
  • Europäische Union
  • Schweiz
Home-Office
bevorzugt
Profilaufrufe
19709
Alter
47
Berufserfahrung
21 Jahre (seit 07/1998)
Projektleitung
15 Jahre

Kontaktdaten

Nur registrierte PREMIUM-Mitglieder von freelance.de können Kontaktdaten einsehen.

Jetzt Mitglied werden »